«Авито» включает ИИ‑компоненты в багбаунти и увеличивает максимальную выплату в 2 раза

30 марта 2026 г.

Технологическая платформа «Авито» расширяет программу багбаунти на ИИ‑сервисы и увеличивает максимальную выплату за критические уязвимости до 1 млн рублей. Независимые исследователи смогут тестировать ИИ‑решения платформы, включая будущих ассистентов «Ави» и «Ави Pro».

Помимо ИИ‑компонентов, «Авито» также расширяет программу багбаунти на новые продукты компании. В нее включены HR Messenger и HRMOST — платформы чат‑ботов для массового найма, «Автохаб» — система автоматизации процессов для автодилеров, а также Haraba — сервис оценки автомобилей с пробегом. Максимальная выплата за критические уязвимости в этих сервисах составит до 500 тыс. рублей.

Задача участников программы багбаунти — находить уязвимости, которые могут представлять риск для компании или пользователей. Например, ошибки, позволяющие получить доступ к чужим данным, украсть платежную информацию или нарушить работу сервисов платформы. Для этого исследователи тестируют мобильные и веб‑приложения компании, включая сервисы на поддоменах *.avito.ru.

Активность исследователей в программе растет. В 2025 году «Авито» получила 248 отчетов об уязвимостях от независимых исследователей — в 2,8 раза больше, чем годом ранее. Количество принятых отчетов выросло с 23 до 101. Совокупные выплаты исследователям достигли 5 млн рублей, увеличившись в 5,6 раза. Рост активности исследователей связан в том числе с увеличением вознаграждений, которое компания произвела в начале года.

Багбаунти для ИИ‑сервисов

С распространением генеративного искусственного интеллекта появляются новые типы уязвимостей — например, манипуляции через промпты или попытки извлечения данных из контекста моделей. Компании все чаще ищут такие уязвимости в том числе через программы багбаунти.

Искусственный интеллект стал одним из ключевых драйверов развития «Авито». Когда технология переходит из категории экспериментов в основу платформы, безопасность нужно закладывать с первых шагов. Багбаунти для нас — это постоянный элемент экосистемы безопасности, который дополняет внутренние процессы. Внешние исследователи видят систему под другим углом и находят то, что может ускользнуть от команды разработки и безопасности. Для ИИ‑сервисов это особенно важно, поскольку такие системы формируют новые классы рисков и индустрия только начинает выстраивать практики их системной проверки.

Екатерина Пухарева

Руководитель продуктовой безопасности «Авито»

В этой связи отдельным направлением программы становится поиск уязвимостей в ИИ‑функциях сервисов платформы — например, в генерации описаний, подсказках и автоответах в мессенджере. За ошибки в таких системах исследователи смогут получать вознаграждение по повышенной сетке выплат наравне с уязвимостями в традиционной инфраструктуре.

Однако компании пока только начинают выводить ИИ‑компоненты в программы багбаунти. По данным платформы BI.ZONE Bug Bounty, средние выплаты за такие уязвимости сегодня примерно на 50% ниже, чем за ошибки в традиционной инфраструктуре.

Рост рынка багбаунти в России

Рынок багбаунти в России продолжает расти. По данным платформы BI.ZONE Bug Bounty, в 2025 году на ней действовало 150 программ — на 50% больше, чем годом ранее. Общее число отчетов об уязвимостях достигло 5,8 тыс., увеличившись на 20,8%. Совокупные выплаты независимым исследователям в 2025 году составили 100 млн рублей, что на 54% больше, чем в 2024 году.

Наиболее активно программы багбаунти размещают IT‑компании, финтех и госсектор, где требуется регулярная внешняя проверка безопасности цифровых сервисов.

Расширение программы «Авито» на платформе BI.ZONE Bug Bounty — пример зрелого комплексного подхода к системе безопасности ресурсов. Для эффективного взаимодействия с багхантерами мы рекомендуем компаниям поэтапно увеличивать скоуп и выплаты. Тогда багбаунти станет полноценным элементом управления киберрисками.

Чаще всего программы запускают организации из IT, финтеха и госсектора, где важно контролировать безопасность большого числа продуктов. Развивается ИИ‑направление: этот тренд зависит от того, насколько успешно компании будут внедрять искусственный интеллект в свои решения. Чем больше ИИ‑компонентов, тем выше интерес к этому направлению со стороны исследователей.

Андрей Лёвкин

Руководитель продукта BI.ZONE Bug Bounty

BI.ZONE Bug Bounty — это платформа для проверки защищенности внешней инфраструктуры с привлечением независимых исследователей. Организации размещают программы на платформе и получают отчеты об обнаруженных уязвимостях. Багхантеры при этом выбирают интересные для себя программы, ищут уязвимости и получают денежное вознаграждение за подтвержденные баги.