HackerOne разъяснила использование данных исследователей для обучения ИИ после волны критики

КОрганизация HackerOne разъяснила свою позицию относительно генеративного ИИ. Это произошло после того, как исследователи забеспокоились, что их отчёты используются для обучения моделей компании.

Волна возмущения в соцсети X разразилась после того, как платформа баг-баунти в январе 2026 года запустила сервис Agentic PTaaS. Компания заявила, что сервис обеспечивает непрерывную проверку безопасности. Agentic PTaaS сочетает автономное выполнение агентами задач с экспертизой элитных специалистов.

По словам HackerOne, агенты обучаются и совершенствуются на основе проприетарных данных об эксплойтах. Эти информация были получены за годы тестирования реальных корпоративных систем. ОТем не менее это заставило исследователей задаться вопросом об источнике данных для обучения агентов.

Исследователь ИБ Y Shahinzadeh написал в X, что надеется на неиспользование его отчётов для обучения ИИ-агентов. По мнению другого исследователя, специалисты буквально учат собственную замену. Как отметил ещё один кибербез-специалист с ником AegisTrail, когда белые хакеры чувствуют, что правовая система настроена против них, привлекательность тёмной стороны становится вопросом гнева и выживания, а не этики.

Генеральный директор HackerOne Кара Спрэг обратилась к сообществу в LinkedIn в серелине февраля. Кара Спрэг заявила, что HackerOne не обучает генеративные ИИ-модели на основе отчётов исследователей или конфиденциальных данных клиентов. Это касается как внутренних сил, так и сторонних провайдеров.

По словам генерального директора HackerOne, более того, отчёты исследователей не используются для обучения, тонкой настройки или иного улучшения генеративных ИИ-моделей. Сторонним провайдерам моделей не разрешается хранить или применять данные исследователей или клиентов для обучения собственных моделей.

Агентная ИИ-система HackerOne под названием Hai была разработана для ускорения результатов. Речь идёт о проверенных отчётах, подтверждённых исправлениях и выплаченных вознаграждениях. При этом сохраняется целостность и конфиденциальность вклада исследователей.

Кара Спрэг заверила исследователей, что их отчёты не вытсупают входными данными для моделей компании. СПлатформа Hai создана для дополнения работы специалистов, а не её замены.

Эта шумиха заставила другие компании чётко изложить свою позицию относительно данных исследователей и ИИ. Основатель и генеральный директор Intigriti Стейн Янс объявил, что хочет быть предельно ясным в своей позиции. Стейн Янс сообщил исследователям через LinkedIn, что они владеют своей работой.

Генеральный директор Intigriti отметил, что компания применяет ИИ для создания взаимной выгоды как для клиентов, так и для исследователей. Технология усиливает человеческую креативность, чтобы специалисты могли продолжать находить сложные, критически важные уязвимости. Модели часто пропускают такие уязвимости.

Intigriti развивает свои ИИ‑возможности, чтобы помочь исследователям быстрее приносить пользу. Это равным образом обеспечивает более быструю и точную сортировку командой компании.

В условиях использования платформа дляпоиска уязвимостей Bugcrowd говорится, что платфома не разрешает третьим сторонам обучать ИИ, LLM или генеративные ИИ‑модели на данных клиентов или исследователей.

В то же время Bugcrowd возлагает на исследователей ответственность за использование ими инструментов генеративного ИИ. Использование генеративного ИИ не освобождает их от строгого соблюдения правил платформы или конкретных рамок программ. Автоматизированные или непроверенные результаты не принимаются в качестве действительных отчётов.