Исследователи получили 57 тысяч долларов от Google за две уязвимости в Chrome, найденные с помощью ИИ-подписки за 20 долларов

Команда исследователей Calif сообщила, что Google выплатила им 57 тысяч долларов за две уязвимости в Chrome, обнаруженные при помощи обычной потребительской ИИ-подписки стоимостью 20 долларов в месяц.

Сами авторы находки заявили, что в работе не использовалось ничего более продвинутого, и анонсировали выступление на конференции Real World AI Security в Стэнфорде. Технические детали по двум багам пока не раскрываются – команда придерживает их для собственной серии MAD Bugs.

Поводом для широкого обсуждения стало именно соотношение затрат и вознаграждения. На фоне того, что в индустрии багхантинга крупные находки традиционно требуют многомесячной работы команд, история про подписку за 20 долларов и чек на 57 тысяч быстро разошлась по сообществам. В комментариях к посту многие иронизируют, предлагая исследователям поделиться выплатой и спрашивая, не Gemini ли использовался для поиска.

Часть индустрии восприняла историю спокойно. Большинство специалистов по безопасности так или иначе уже включают ИИ в свой инструментарий. В качестве свежего примера один из комментаторов привёл уязвимость в ядре Linux, известную как Copy Fail и получившую идентификатор CVE-2026-31431.

Впрочем нашлись и скептики. Как они считают, заголовок про "20 долларов" вводит в заблуждение, так как за подпиской стоит специалист с 25-летним опытом, и баги нашлись не от запроса в духе "ИИ, давай, найди что-нибудь". Чтобы найти уязвимость, необходимо знать где и что искать, так что не рассчитывайте запустить сегодня после обеда чатбот и за полчаса заработать несколько тысяч долларов на поиске багов.

Также необходимо учитывать, что ИИ генерирует немало "галлюцинированных" уязвимостей, и без эксперта, способного отделить реальные находки от мусора, такая методика не работает.

Хотя, безусловно, если знаешь что делать, то ИИ может быть огромным подспорьем.