報告件数が急増
Bugcrowdへの報告が3週間で4倍超に
大半が誤りや低品質なAI生成
Curlは報奨金制度を一時停止
出典:Ars Technica
詳細を読む
バグ報奨金(バグバウンティ)制度を運営する企業が、AI生成の低品質な脆弱性報告の急増に直面しています。一部の企業はプログラムの一時停止に追い込まれており、セキュリティ業界の仕組みそのものに変革を迫る事態となっています。
OpenAIやT-Mobileなどを顧客に持つBugcrowdによると、2026年3月の3週間で受領した報告件数は4倍以上に急増しました。しかし、その大半は誤った内容であったといいます。データ転送ツールCurlも2026年1月に有償のバグ報奨金制度を停止し、理由として「AIスロップ報告の爆発的増加」を挙げました。
サイバーセキュリティの専門家は、生成AIの進化がバグ報奨金制度の経済構造を根本から変えつつあると指摘しています。経験豊富な研究者がより迅速に脆弱性を発見できるようになった一方で、参入障壁の低下により自動化された誤報告が大量に流入しています。セキュリティ企業Sophosの最高情報セキュリティ責任者ロス・マッカーチャー氏は、この状況が「急速に深刻な問題になりつつある」と述べました。
マッカーチャー氏によれば、低品質報告の増加は初心者だけでなく、既存の研究者がAIエージェントに誤誘導されるケースからも生じています。バグ報奨金制度自体はなくならないものの、「変わらざるを得ない」との見解を示しました。Googleの報奨金プログラムは昨年総額1700万ドルを支払っており、2021年の750万ドルから大幅に拡大しています。