Авито расширяет программу Bug Bounty на искусственный интеллект, удваивая максимальную выплату за критические уязвимости до одного миллиона рублей. Независимые эксперты могут тестировать интеллектуальные решения, такие как будущие ассистенты Авито и Авито Pro, сообщила пресс-служба компании.
Программа охватывает новые продукты Авито: HR Messenger и HRMOST для массового найма через чат-ботов, Автохаб — систему автоматизации для автодилеров и Haraba — сервис для оценки автомобилей с пробегом. За критические уязвимости в этих продуктах предусмотрена выплата до 500 тысяч рублей.
Эксперты ищут ошибки, которые могут привести к несанкционированному доступу к личной информации, краже платёжных данных или сбоям в работе сервисов. Они проверяют мобильные и веб-приложения, а также сервисы на поддоменах *.avito.ru.
С развитием искусственного интеллекта появляются новые типы уязвимостей, такие как манипуляции через промпты и попытки извлечь данные из моделей. Многие компании обращаются к программам Bug Bounty для их обнаружения.
Екатерина Пухарева, руководитель отдела продуктовой безопасности Авито, отметила: «Искусственный интеллект является ключевым фактором развития нашей компании. Когда ИИ становится основой платформы, безопасность должна быть внедрена с первых шагов. Программа Bug Bounty является неотъемлемой частью нашей системы безопасности, дополняя внутренние процессы. Внешние эксперты видят систему под другим углом и находят то, что может упустить команда разработки и безопасности. Это особенно важно для ИИ-систем, так как они создают новые классы рисков, и индустрия только учится их проверять».
Особое внимание уделяется уязвимостям в ИИ-сервисах, таких как генерация описаний, подсказок и автоответов в мессенджерах. За ошибки в этих системах предусмотрены повышенные выплаты, аналогичные выплатам за уязвимости в традиционных системах.
Компании только начинают включать ИИ-компоненты в программы Bug Bounty. По данным BI.ZONE Bug Bounty, средний размер выплат за ошибки в ИИ составляет около 50% от вознаграждений за уязвимости в обычных системах.
Активность исследователей в программах Bug Bounty растёт. В 2022 году Авито получила 248 отчётов об уязвимостях, что в 2,8 раза больше, чем годом ранее. Количество принятых отчётов увеличилось с 23 до 101, а выплаты исследователям достигли 5 миллионов рублей, что в 5,6 раза больше, чем в прошлом году. Рост активности связан с увеличением вознаграждений, начавшихся в начале года.