Платформа Авито объявила о расширении программы Bug Bounty на свои ИИ-сервисы и удвоении максимальной выплаты за критические уязвимости до 1 миллиона рублей. Независимые специалисты теперь смогут тестировать интеллектуальные решения компании, включая будущих ассистентов Ави и Ави Pro, сообщили ИА «Уральский меридиан» в пресс-службе цифрового сервиса.
Помимо ИИ, программа Bug Bounty также охватывает новые продукты Авито. В неё вошли HR Messenger и HRMOST – платформы для массового найма через чат-ботов, Автохаб – система автоматизации для автодилеров и Haraba – сервис для оценки автомобилей с пробегом. За обнаружение критических уязвимостей в этих сервисах предусмотрена максимальная выплата до 500 тысяч рублей.
Цель участников программы Bug Bounty – выявление уязвимостей, которые могут представлять угрозу для компании или её пользователей. Это могут быть ошибки, позволяющие несанкционированный доступ к личным данным, кражу платёжной информации или нарушение работы сервисов. Для этого исследователи проводят тестирование мобильных и веб-приложений компании, включая сервисы на поддоменах *.avito.ru.
Bug Bounty: фокус на ИИ-сервисы
С развитием генеративного искусственного интеллекта возникают новые типы уязвимостей, такие как манипуляции через промпты или попытки извлечения данных из моделей. Компании всё чаще прибегают к программам Bug Bounty для поиска таких уязвимостей.
«Искусственный интеллект стал одним из ключевых драйверов развития Авито. Когда технология переходит из категории экспериментов в основу платформы, безопасность нужно закладывать с первых шагов. Bug Bounty для нас – это постоянный элемент экосистемы безопасности, который дополняет внутренние процессы. Внешние исследователи видят систему под другим углом и находят то, что может ускользнуть от команды разработки и безопасности. Для ИИ-сервисов это особенно важно, поскольку такие системы формируют новые классы рисков, и индустрия только начинает выстраивать практики их системной проверки», — отметила руководитель продуктовой безопасности Авито Екатерина Пухарева.
Одним из ключевых направлений программы становится выявление уязвимостей в искусственных интеллектах (ИИ) сервисов платформы, таких как генерация описаний, подсказки и автоответы в мессенджерах. За обнаружение ошибок в этих системах исследователи будут получать вознаграждение по повышенной ставке, аналогично уязвимостям в традиционной инфраструктуре.
Однако компании только начинают внедрять ИИ-компоненты в программы Bug Bounty. По данным платформы BI.ZONE Bug Bounty, средние выплаты за ошибки в ИИ-системах сегодня составляют около 50% от вознаграждений за уязвимости в традиционной инфраструктуре.
Активность исследователей в программах Bug Bounty увеличивается. В 2025 году компания Авито получила 248 отчётов об уязвимостях от независимых экспертов, что в 2,8 раза больше, чем в предыдущем году. Количество принятых отчётов выросло с 23 до 101, а совокупные выплаты исследователям достигли 5 миллионов рублей, увеличившись в 5,6 раза. Рост активности исследователей связан с увеличением вознаграждений, которое компания осуществила в начале года.
Динамика рынка Bug Bounty в России
Рынок программ Bug Bounty в России продолжает расширяться. По информации платформы BI.ZONE Bug Bounty, в 2025 году их количество достигло 150, что на 50% больше, чем в 2024 году. Общее число отчётов об уязвимостях составило 5,8 тысяч, увеличившись на 20,8%. Совокупные выплаты независимым исследователям достигли 100 миллионов рублей, что на 54% больше, чем в предыдущем году.
Наиболее активно программы Bug Bounty используют IT-компании, финтех-сектор и государственный сектор, где требуется регулярная внешняя проверка безопасности цифровых услуг.
«Расширение программы «Авито» на платформе BI.ZONE Bug Bounty – пример зрелого системного подхода к системе безопасности ресурсов. Для эффективного взаимодействия с багхантерами мы рекомендуем компаниям поэтапно увеличивать скоуп и выплаты. Тогда багбаунти станет полноценным элементом управления киберрисками. Чаще всего программы запускают организации из сферы оказания услуг, IT, финтеха и госсектора, где важно контролировать безопасность большого числа продуктов. Развивается ИИ-направление: этот тренд зависит от того, насколько успешно компании будут внедрять искусственный интеллект в свои решения. Чем больше ИИ-компонентов, тем выше интерес к этому направлению со стороны исследователей», — рассказал руководитель продукта BI.ZONE Bug Bounty Андрей Лёвкин.
Агентство сообщало, что кабинет Авито Рекламы пополнился новым ИИ‑инструментом. Он помогает автоматически управлять дневным бюджетом кампании: анализирует ее настройки и самостоятельно устанавливает оптимальную стоимость клика (CPC) либо тысячи показов (CPM).