ИБ-специалисты подозревают, что HackerOne использует их отчеты для обучения ИИ

Платформа HackerOne оказалась в центре конфликта после запуска нового продукта Agentic PTaaS — системы, сочетающей автономных ИИ-агентов и работу специалистов по безопасности. В описании сервиса компания заявила, что агенты «обучены на накопленной базе знаний об эксплоитах». Именно эта фраза вызвала подозрения багхантеров: они решили уточнить, использовала ли платформа их приватные отчёты.

Бывшие исследователи начали писать публичные вопросы. Один из них, выступающий под ником YShahinzadeh, выразил надежду, что его отчёты не стали частью обучающего набора. Другой эксперт под ником AegisTrail заявил, что, когда специалисты по безопасности чувствуют угрозу своим правам, мотивация переходить «на тёмную сторону» становится вопросом выживания.

Ситуацию прокомментировала CEO HackerOne Кара Спраг через LinkedIn. Она подчеркнула, что компания не использует отчёты исследователей или данные клиентов для обучения генеративных ИИ-моделей, ни внутри компании, ни у внешних поставщиков. По её словам, модели не проходят донастройку на уязвимостях, а партнёрам прямо запрещено хранить или применять такие данные для обучения.

Спраг также отметила, что агентная система HackerOne Hai предназначена для ускорения обработки отчётов и выплат, при этом соблюдая конфиденциальность вклада исследователей.

Скандал заставил высказаться и конкурентов HackerOne. Основатель Intigriti Стейн Янс заявил, что работа исследователей принадлежит им самим, а ИИ в компании используется только для повышения качества результатов. Платформа Bugcrowd ранее уже закрепила в условиях использования запрет на обучение любых ИИ-моделей на данных специалистов и клиентов.

HackerOne, в ответ на критику, объявила о планах обновить Terms and Conditions, чтобы формально зафиксировать свои обещания.