#bug_bounty

GitHubはBug Bounty Programの基準を厳しくし、質の低い報告には現金ではなくSwagで報いる方針を示した 背景には、AI支援で作られた“それっぽいけど中身の薄い脆弱性報告”が大量に届いている問題がある Security teamは、ノイズの多い報告に対応するため、より厳密な審査をせざるを得なくなっている これは「AIで誰でも報告を量産できる時代」に、Bug Bountyの仕組みそのものが揺れていることを示している 個人的には、これはかなり象徴的な動きだと思う。AIが生んだ“スロップ”への、かなり現実的な防御策だからだ Bug Bountyは、ざっくり言うと「サービスの弱点やバグを見つけた人に報酬を払う制度」です。 企業にとっては、社内だけでは見つけきれない問題を外部の研究者やハッカーに探してもらえるので、とても便利な仕組みです。 報酬は多くの場合、現金です。 見つけた脆弱性の危険度が高いほど、数千ドルから数万ドル、それ以上になることもあります。 ただしこの制度、前提があります。 それは「ちゃんと価値のある報告が来ること」です。 ここが崩れると