Самый успешный "белый хакер" заработал в 2025 году 3,6 млн рублей
В 2025 году количество награждений в программе по поиску уязвимостей "белыми хакерами" выросло на 30%, рассказали "РГ" в Яндексе. В 2025 году компания выплатила независимым исследователям 62 млн рублей - на 20% больше, чем годом ранее. Они получили вознаграждение за 706 отчетов - это на 30% больше, чем в 2024 году.
Как следует из отчета, в 2025 году уязвимости искал 701 исследователь. Они прислали 1,3 тысячи полезных отчетов, соответствующих правилам программы, что на 30% превышает результаты прошлого года. Остальные отчеты описывали ошибки, уже выявленные другими исследователями.
За 2025 год 21 участник программы заработал свыше 1 млн рублей. Самый успешный участник прислал 59 отчетов об уникальных ошибках и заработал 3,6 млн рублей. Второе и третье места заняли исследователи, получившие 3,2 млн и 3,1 млн рублей. Самые крупные вознаграждения за одну найденную уязвимость составили 2 млн, 1,5 млн и 1,2 млн рублей. Чаще всего багхантеры присылали отчеты об XSS-уязвимостях, связанных с риском выполнения вредоносного кода на сайтах.
В 2026 году Яндекс выделит 100 млн рублей на вознаграждения участников "Охоты за ошибками".
Рост числа отчетов и выплат в программе "Охота за ошибками" показывает, что модель bug bounty становится одним из ключевых инструментов современной кибербезопасности. Фактически речь идет о формировании распределенной системы защиты, где к поиску уязвимостей подключается глобальное сообщество независимых исследователей. Такой подход позволяет компаниям обнаруживать ошибки быстрее, чем это могли бы сделать исключительно внутренние команды безопасности, говорит член комитета Государственной Думы по информационной политике, информационным технологиям и связи Антон Немкин.
Самый успешный "белый хакер" прислал 59 отчетов об уникальных ошибках и заработал 3,6 млн рублей
"Увеличение количества отчетов на 30% говорит сразу о нескольких тенденциях. Во-первых, повышается зрелость самой программы и доверие исследовательского сообщества - специалисты видят прозрачные правила и понятную систему вознаграждений. Во-вторых, растет сложность цифровых экосистем: чем больше сервисов и технологий, тем выше вероятность появления новых уязвимостей, которые важно выявлять на ранней стадии", - заявил депутат.
В 2025 году в программе появилось отдельное направление, связанное с генеративными нейросетями. Исследователи, которым удастся отыскать технические уязвимости в семействе ИИ-моделей Alice AI и сопутствующей инфраструктуре, могут получить до 1 млн рублей.
"По мере внедрения нейросетевых моделей появляются новые типы рисков - от уязвимостей инфраструктуры до атак на сами модели. Вовлечение исследователей в поиск таких проблем - важный шаг, который позволяет заранее выявлять потенциальные угрозы и формировать практики безопасного развития ИИ-систем", - подчеркнул Немкин.
Он добавил, что расширение подобных программ - позитивный сигнал для отрасли. Это показывает, что крупные технологические компании все активнее переходят от закрытой модели безопасности к открытому взаимодействию с профессиональным сообществом. "Такой формат не только повышает уровень защиты сервисов, но и способствует развитию культуры ответственного раскрытия уязвимостей и легального рынка киберисследований", - отметил депутат.
