AI Slopがバグバウンティプログラムに氾濫、企業は偽の報告書への対応に苦慮

📄原文全文· trafilatura により自動抽出Gemini 翻譯3113 文字

概要 - バグバウンティプログラムを運営する企業は、低品質なAI生成の提出物が急増していると報告している。 - HackerOneとNextcloudは、いずれも偽の報告が殺到した後、バグバウンティプログラムを停止した。 - セキュリティ企業によれば、AIツールは大規模に報告を提出することを容易にすることで、バグハンティングのあり方を変えつつある。人工知能は、ソフトウェアの脆弱性を発見するためにバグバウンティプログラムに頼っている企業にとって、新たな悩みの種を生み出している。サイバーセキュリティ企業やオープンソースソフトウェアプロジェクトは、AI生成のバグ報告の急増に対処しており、その多くは虚偽または誤解を招くものである。これはFinancial Timesの報道によるもので、低品質な提出物の増加によって、セキュリティチームが本物の脆弱性とスパムを選別するのにより多くの時間を費やすようになり、一部の組織がバグバウンティプログラムを一時停止せざるを得なくなっているという。バグバウンティはまた大きなビジネスにもなっており、Meta、Microsoft、Apple、Crypto.comを含む企業は、ハッカーに先んじてソフトウェアの欠陥を発見した研究者に対して、2025年に合計で少なくとも5800万ドルを支払っている。しかし、生成AIツールはまた、不正確または低品質な脆弱性報告を大規模に大量生産することで、バグバウンティプログラムを悪用することを容易にしている。サンフランシスコに拠点を置くBugcrowdによると、同社のプラットフォームを通じて提出された報告は、3月の3週間の間に4倍以上に増加した。ChatGPTの開発元であるOpenAIをクライアントに持つ同社は、報告のほとんどが偽物だったと述べている。 AI生成の報告の洪水のため、一部の企業はすでに公開バウンティプログラムの縮小を始めている。「バグバウンティは存続する[が]変わらざるを得ないだろう」と、サイバーセキュリティ企業Sophosの最高情報セキュリティ責任者であるRoss McKercharはFinancial Timesに語った。 4月には、サイバーセキュリティプラットフォームのHackerOneとホスティングプラットフォームのNextcloudがいずれも有料バウンティプログラムを停止し、Nextcloudは「深刻度に関わらず、いかなる提出物に対しても金銭的報酬は付与されない」と付け加えた。「ご承知の通り、これは業界全体の課題であり、他社と同様に、当社も低品質な報告の大幅な増加に責任を持って対処する方法を見出すことができなかった」とNextcloudは記した。「低労力の報告をフィルタリングする信頼できる方法が見つかり次第、プログラムを再開できることを願っている」このバグバウンティのニュースは、AIモデルが脆弱性発見においてますます優れたものになりつつあるなかで報じられている。3月、AnthropicはMythosを発表した。これはサイバーに特化したAIモデルで、同社によれば人間よりも速く脆弱性を特定できるという。同社は現在このモデルを非公開とし、テック大手、セキュリティ企業、政府機関などにのみアクセスを許可している。 4月には、Claude Mythosが社内テストでMozilla Firefoxの脆弱性を271件特定し、また今月初めには、セキュリティ研究者がこのモデルのプレビュー版がAppleのM5チップを標的としたエクスプロイトの開発に役立ったと述べた。 DecryptのDecryptの親会社Dastanが運営する予測市場プラットフォームMyriadのユーザーは、Claude Mythosが6月末までに一般公開されるとは考えておらず、現時点でそのオッズはわずか18%にとどまっている。

データステータス✓ 全文抽出済み原文を読む（Decrypt）

🔍過去の類似イベント· キーワード + 銘柄照合4 件

2026-04-22

AIが「bug bounty」レポートの急増を牽引する一方で、「slop」も増加している

類似度 200%關鍵字 slop/bug/reports

2026-04-22

AIが「bug bounty」レポートの急増を牽引する一方、「slop」も増加している

類似度 200%關鍵字 slop/bug/reports

2026-04-28

Litecoinの事後検証：MWEBのバグにより攻撃者が85,034 LTCのPegoutを偽造、開発者が資金を凍結する事態に

類似度 100%關鍵字 bug/fake

2026-04-21