Технологический гигант подводит итоги 2025 года и объявляет рекордный бюджет на поиск уязвимостей в 2026-м: самые успешные охотники за ошибками уже зарабатывают миллионы.
В 2026 году «Яндекс» направит 100 миллионов рублей на вознаграждение участникам программы «Охота за ошибками» (Bug Bounty). Это решение — не просто жест доброй воли, а осознанная стратегия кибербезопасности: сумма в 1,6 раза превышает объем выплат предыдущего года, который, в свою очередь, тоже стал рекордным. Компания не только фиксирует взрывной рост интереса к программе, но и кратно повышает ставки за самые опасные уязвимости, включая те, что угрожают генеративным нейросетям.
Итоги 2025 года
Прошедший 2025 год стал для багхантеров невероятно урожайным. «Яндекс» выплатил независимым исследователям 62 миллиона рублей — это на 20% больше, чем в 2024-м. Рост числа полезных находок оказался еще более впечатляющим: эксперты прислали 1,3 тысячи релевантных отчетов, что на 30% превышает показатели позапрошлого года. Вознаграждение получили авторы 706 из них.
В программе приняли участие более 700 специалистов со всего мира. Примечательно, что 21 исследователь сумел превратить хобби в высокодоходное занятие, заработав за год свыше 1 миллиона рублей каждый.
Тройка лидеров 2025 года выглядит так:
1 место: 59 найденных уязвимостей и 3,6 млн рублей вознаграждения.
2 место: 3,2 млн рублей.
3 место: 3,1 млн рублей.
Самые ценные единичные находки принесли их авторам 2 млн, 1,5 млн и 1,2 млн рублей соответственно. Чаще всего в отчетах фигурировали XSS-уязвимости — классические бреши, позволяющие злоумышленникам внедрять вредоносный код на страницы сайтов.
Новые горизонты: нейросети
Главный тренд 2025 года — смещение фокуса на искусственный интеллект. «Яндекс» запустил отдельное направление программы, нацеленное на поиск уязвимостей в семействе генеративных моделей Alice AI и сопутствующей инфраструктуре. За технические ошибки в работе нейросетей компания готова платить до 1 миллиона рублей.
Кроме того, были пересмотрены лимиты выплат за критические угрозы. Теперь максимальное вознаграждение за сообщение об опасной уязвимости в ключевых сервисах — «Яндекс Почте», «Яндекс ID» и Yandex Cloud — может достигать 3 миллионов рублей. Это вдвое больше предыдущего максимума и прямой сигнал хакерскому сообществу: компания ценит безопасность персональных данных пользователей выше любых затрат.
100 миллионов на кону 2026 года
Увеличение бюджета до 100 миллионов рублей в 2026 году говорит о том, что «Яндекс» видит в программе Bug Bounty не просто способ найти ошибки, а полноценный элемент цифрового суверенитета.
«Охота за ошибками» позволяет привлечь тысячи независимых экспертов, которые часто видят то, что упускают штатные службы безопасности. Для компании это экономически эффективный способ тестирования, а для исследователей — легальный и высокооплачиваемый способ применить свои навыки.
С учетом растущей сложности IT-инфраструктуры и появления новых векторов атак (в первую очередь связанных с ИИ) можно прогнозировать, что 2026 год побьет рекорды и по количеству отчетов, и по сумме выплат. «Белые хакеры» уже сейчас знают: охота на ошибки в «Яндексе» — одно из самых прибыльных занятий в мире этичного взлома.
С уважением к Вашему делу, Ника Виноградова
Источник: New Retail
