HackerOne выплатил $81 млн охотникам за багами: ИИ стал главным источником угроз
NewsMaker70% исследователей используют ИИ в работе, а автономные агенты уже передали сотни валидных отчётов.
Платформа для вознаграждений за найденные уязвимости HackerOne сообщила, что за последние 12 месяцев белые хакеры по всему миру получили выплаты на сумму $81 млн. По данным компании, это на 13% больше, чем годом ранее.
Сегодня HackerOne управляет более чем 1950 программами bug bounty и оказывает услуги по раскрытию уязвимостей, пентестам и проверке безопасности кода. Среди её клиентов — Anthropic, Crypto.com, General Motors, GitHub, Goldman Sachs, Uber и государственные структуры, включая Министерство обороны США.
В среднем действующие программы выплачивают исследователям около $42 тыс. в год. Только топ-100 программ на платформе за период с июля 2024 по июнь 2025 года суммарно выплатили $51 млн. При этом на первые десять программ пришлось $21,6 млн из общего объёма выплат.
На уровне исследователей также наблюдается рост доходов: первые 100 охотников за багами за всё время получили в совокупности $31,8 млн. Всё больше специалистов выходят на уровень шестизначного годового заработка.
HackerOne отмечает, что резкий рост выплат связан с активным развитием сферы уязвимостей, связанных с искусственным интеллектом. За год количество таких отчётов выросло более чем на 200%, а случаи prompt injection увеличились на 540%, став самым быстрорастущим классом угроз в AI-сфере.
Одновременно фиксируется спад в классических направлениях — XSS и SQL-инъекции встречаются реже. Однако ошибки авторизации, включая некорректный контроль доступа и IDOR (insecure direct object reference), напротив, показывают значительный рост.
По данным отчёта, в 2025 году в HackerOne насчитывается 1121 программа, в рамках которых в область поиска были включены технологии AI. Это на 270% больше, чем год назад. Причём валидацию прошли более 560 отчётов, поданных автономными AI-агентами.
Компания подчёркивает, что использование AI-инструментов становится частью рабочего процесса исследователей. Из 1820 опрошенных специалистов 70% признались, что применяют такие решения, чтобы повысить эффективность поиска уязвимостей.
«AI-уязвимости увеличились более чем на 200% за год, а корпоративные инициативы по их предотвращению развиваются втрое быстрее по сравнению с прошлым годом», — заявила генеральный директор HackerOne Кара Спраг. По её словам, новое поколение так называемых «бионических хакеров» , использующих искусственный интеллект для усиления собственных возможностей, позволяет находить уязвимости в беспрецедентных масштабах.
Для сравнения, российская площадка Standoff Bug Bounty за год — с 25 августа 2024 по 25 августа 2025 года — выплатила исследователям 168,9 млн рублей. За это время было опубликовано 170 программ по поиску уязвимостей в публичном и приватном режимах. Всего багхантеры сдали 6904 отчёта, среди которых 508 касались уязвимостей высокого уровня опасности и 423 — критических. Для подготовки специалистов к работе в подобных программах на рынке существуют образовательные платформы, такие как CyberED , где собраны материалы по практической информационной безопасности.
Платформа для вознаграждений за найденные уязвимости HackerOne сообщила, что за последние 12 месяцев белые хакеры по всему миру получили выплаты на сумму $81 млн. По данным компании, это на 13% больше, чем годом ранее.
Сегодня HackerOne управляет более чем 1950 программами bug bounty и оказывает услуги по раскрытию уязвимостей, пентестам и проверке безопасности кода. Среди её клиентов — Anthropic, Crypto.com, General Motors, GitHub, Goldman Sachs, Uber и государственные структуры, включая Министерство обороны США.
В среднем действующие программы выплачивают исследователям около $42 тыс. в год. Только топ-100 программ на платформе за период с июля 2024 по июнь 2025 года суммарно выплатили $51 млн. При этом на первые десять программ пришлось $21,6 млн из общего объёма выплат.
На уровне исследователей также наблюдается рост доходов: первые 100 охотников за багами за всё время получили в совокупности $31,8 млн. Всё больше специалистов выходят на уровень шестизначного годового заработка.
HackerOne отмечает, что резкий рост выплат связан с активным развитием сферы уязвимостей, связанных с искусственным интеллектом. За год количество таких отчётов выросло более чем на 200%, а случаи prompt injection увеличились на 540%, став самым быстрорастущим классом угроз в AI-сфере.
Одновременно фиксируется спад в классических направлениях — XSS и SQL-инъекции встречаются реже. Однако ошибки авторизации, включая некорректный контроль доступа и IDOR (insecure direct object reference), напротив, показывают значительный рост.
По данным отчёта, в 2025 году в HackerOne насчитывается 1121 программа, в рамках которых в область поиска были включены технологии AI. Это на 270% больше, чем год назад. Причём валидацию прошли более 560 отчётов, поданных автономными AI-агентами.
Компания подчёркивает, что использование AI-инструментов становится частью рабочего процесса исследователей. Из 1820 опрошенных специалистов 70% признались, что применяют такие решения, чтобы повысить эффективность поиска уязвимостей.
«AI-уязвимости увеличились более чем на 200% за год, а корпоративные инициативы по их предотвращению развиваются втрое быстрее по сравнению с прошлым годом», — заявила генеральный директор HackerOne Кара Спраг. По её словам, новое поколение так называемых «бионических хакеров» , использующих искусственный интеллект для усиления собственных возможностей, позволяет находить уязвимости в беспрецедентных масштабах.
Для сравнения, российская площадка Standoff Bug Bounty за год — с 25 августа 2024 по 25 августа 2025 года — выплатила исследователям 168,9 млн рублей. За это время было опубликовано 170 программ по поиску уязвимостей в публичном и приватном режимах. Всего багхантеры сдали 6904 отчёта, среди которых 508 касались уязвимостей высокого уровня опасности и 423 — критических. Для подготовки специалистов к работе в подобных программах на рынке существуют образовательные платформы, такие как CyberED , где собраны материалы по практической информационной безопасности.