HackerOne、AI生成のノイズ報告に不堪え新規受付停止　脆弱性報奨金制度の構造的危機が表面化

米セキュリティ企業のHackerOneが、AIによって生成された低品質な脆弱性報告の爆発的増加を受け、新規報告の受付を一時停止する措置を取った。脆弱性発見の報奨金（バグバウンティ）制度は長年にわたり、オープンソースソフトウェア（OSS）のセキュリティ向上を支える重要な仕組みだったが、生成AIの悪用がこの秩序を根本から揺さぶり始めている。

停止の背景には、個人やグループがAIツールを使い分け、大量の脆弱性報告を短時間で自動生成する手法がある。これらの報告は形式的には完整，但从技术角度来看真正の価値は乏しく、セキュリティチームは真の脅威を選別するどころか、海量のノイズに人的リソースを消耗する状況に追い込まれている。HackerOneではこのオーバーロードに対応しきれず、新規受付の停止という苦渋の選択に至った。\n
同様の問題は、Googleを含む他の主要テクノロジー企業にも波及している。報奨金プログラムを提供する各社は、報告品質の評価基準の見直しや、AI生成報告のフィルタリング強化を迫られており、脆弱性報奨金制度全体の運用モデル再不構築が急務となっている。OSSコミュニティにとっては、誰が本当にコードを監査し、善意の研究者をどう守り続けるかという問いが、先送りできない課題として浮上している。