%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
AIによって生成された偽の脆弱性報告が氾濫したため、有名なオープンソースプロジェクトであるNode.jsの公式は、HackerOneプラットフォームを通じて脆弱性報告者に現金報酬を支払うことを一時的に停止することを発表しました。
脆弱性ボーナスプラットフォームのHackerOneは、近年多くのユーザーがAIツールを使って大規模にスキャンし、脆弱性報告を提出していると述べています。この行動により、オープンソースコミュニティのバランスが崩れました。脆弱性(または疑似脆弱性)の発見速度は、開発者が修正する速度を大幅に上回っています。さらに深刻なことに、その中には大量の低品質で誤って報告されたものや偽造された報告が含まれています。
これに対応して、HackerOneの「インターネット脆弱性ボーナスプログラム」(IBB)は新しい報告を受け付けるのを停止しました。これは直接的にNode.jsの報酬の外部からの供給を断ち切りました。
コミュニティのボランティアによって主導されているプロジェクトとして、Node.jsは独自の予算を持っていませんので、ボーナスを支払うことができません。セキュリティ会社Socketは、Node.jsがすでにメカニズムを調整していたと指摘しています。
審査負担: すべての報告は開発者が大量の精力をかけて確認しなければなりません。AIによって生成された低品質な内容は、ボランティアメンテナーや支援者の時間を大幅に浪費しています。
提出基準の引き上げ: AIによる攻撃を防ぐために、プロジェクトチームは以前から提出基準を大幅に引き上げました。しかし、それでも自動化ツールの影響には対応できていません。
プロセスは変更せず、ボーナスのみ一時停止
Node.jsは、ボーナスが一時的に停止されているものの、セキュリティ保障は「縮小されていない」と強調しています。
提出プロセス: 研究者は依然としてHackerOneを通じて脆弱性を提出できます。
処理優先順位: チームは従来の対応速度およびパッチ公開プロセスを維持し、プロジェクトの安全性を確保します。