HackerOne は、研究者が提出内容が自社モデルの訓練に使用されていると懸念した後、生成 AI に関する立場を明確にしました。
バグ報奨金プラットフォームが先月 Agentic PTaaS を立ち上げた後、X 上で大きな波紋が広がりました。同社はこのサービスが「自律エージェント実行と精鋭人的専門知識を組み合わせた継続的なセキュリティ検証を提供する」と述べていました。
エージェントは「年間にわたる実際のエンタープライズシステムテストで得た専有エクスプロイトインテリジェンスを使用して訓練・改善される」と同社は説明していました。
しかし、これにより研究者はエージェント訓練に使用されるデータがどこから来たのかを正確に尋ね始めました。「元 H1 ハンターとして、私のレポートを AI エージェントの訓練に使用していないことを願う」と @YShahinzadeh は X で述べました。
別の研究者は 「文字通り自分たちの後継者を訓練している」と宣言しました。@AegisTrail は不気味な警告を発しました。「ホワイトハットが法制度が自分たちに対して不公正だと感じるとき、『ダークサイド』への魅力は倫理というより怒りと生存の問題になる。ただそれだけだ。」
HackerOne の CEO Kara Sprague は先週後半 LinkedIn に投稿して、「この問題に直接かつ明確に対処する」としました。
彼女は次のように述べました。「HackerOne は、研究者の提出内容またはカスタマー機密データに関して、内部または第三者プロバイダーを通じて生成 AI モデルを訓練していません。」
さらに彼女は、研究者の提出内容は「生成 AI モデルを訓練、ファインチューニング、またはその他の方法で改善するために」使用されていないと続けました。また、第三者モデルプロバイダーは「研究者またはカスタマーデータを自社のモデル訓練のために保持または使用することを許可されていません。」
HackerOne のエージェント AI システムである Hai は「検証されたレポート、確認された修正、支払われた報酬などの成果を加速させながら、研究者の貢献の完全性と機密性を保護するために」設計されたと彼女は述べました。
Sprague は研究者を安心させました。「あなたはモデルへの入力ではありません…Hai はあなたの仕事を補完するように設計されており、置き換えるのではありません。」
この騒動により、他の企業も研究者データと AI に関する自社の立場を明確にするよう促されました。
Intigriti の創業者兼 CEO である Stijn Jans は、自社の立場について「極めて明確」にしたいと述べ、LinkedIn 経由で研究者に告げました。「あなたはあなたの仕事の所有者です。」
「当社は AI を適用して顧客と研究者の双方に相互利益をもたらし、人間の創造性を増幅して、モデルが見落とすことの多い複雑で重大な脆弱性を引き続き発見できるようにしています。」
「当社は AI 機能を進化させて、研究者がより速く価値をもたらし、当社チームがより高速で正確に分類されるようにしています。」
Bugcrowd の利用規約は 以下のように述べています。「当社は第三者がカスタマーまたは研究者データに対して AI、LLM、または生成 AI モデルを訓練することを許可していません。」
同時に、同社は研究者に生成 AI ツールの使用について責任を持たせています。「生成 AI の使用は、プラットフォームルールまたは特定のプログラムスコープへの厳格な遵守から彼らを免除しません」、「自動化またはまだ検証されていない出力は有効な提出として受け入れられません。」®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/02/18/hackerone_ai_policy/
