Для решения данной задачи компании используют не только собственных специалистов, но и независимых исследователей, и безопасность продукта проверяется не одной командой и не в одном сценарии.
Систему изучают под разными углами: анализируют веб-приложение, ищут логические ошибки, проверяют реагирование системы на нестандартные действия и так далее. В результате находятся проблемы, не замеченные при классическом тестировании.
Технологическая платформа Авито приняла решение расширить модель работы с уязвимостями на ИИ-сервисах, чтобы дать возможность внешним специалистам проверять системы. Независимые исследователи смогут тестировать ИИ-решения платформы, включая будущих ассистентов. За найденные ошибки безопасности увеличена и максимальная выплата до 1 млн рублей.
Помимо ИИ-компонентов, платформа также решила также расширить проверку и на новые продукты компании, включая платформы чат-ботов для массового найма, систему автоматизации процессов для автодилеров и сервис оценки автомобилей с пробегом. Максимальная выплата за критические уязвимости в этих сервисах составит до 500 тыс. рублей.
«Когда технология переходит из категории экспериментов в основу платформы, безопасность нужно закладывать с первых шагов. Нужен постоянный элемент экосистемы безопасности, который дополняет внутренние процессы. Внешние исследователи видят систему под другим углом и находят то, что может ускользнуть от команды разработки и безопасности. Для ИИ-сервисов это особенно важно, поскольку такие системы формируют новые классы рисков, и индустрия только начинает выстраивать практики их системной проверки», — Екатерина Пухарева, руководитель продуктовой безопасности Авито.
Активность исследователей в программе растёт. В 2025 году компания получила 248 отчетов об уязвимостях от независимых исследователей — в 2,8 раза больше, чем годом ранее. Количество принятых отчетов выросло с 23 до 101. Рост активности связывают в том числе с увеличением вознаграждений, которое компания провела в начале года.
«Чаще всего программы запускают организации из сферы оказания услуг, IT, финтеха и госсектора, где важно контролировать безопасность большого числа продуктов. Развивается ИИ-направление: этот тренд зависит от того, насколько успешно компании будут внедрять искусственный интеллект в свои решения. Чем больше ИИ-компонентов, тем выше интерес к этому направлению со стороны исследователей», — Андрей Лёвкин, руководитель продукта BI.ZONE Bug Bounty.
Комментарии