バグ報奨金プラットフォームのHackerOneは、過去12か月間で世界中のホワイトハッカーに8,100万ドルの報奨金を支払いました。
HackerOneは1,950以上のバグ報奨金プログラムを管理し、多くの組織に脆弱性開示、ペネトレーションテスト、コードセキュリティサービスを提供しています。
顧客リストには、Anthropic、Crypto.com、General Motors、GitHub、Goldman Sachs、Uber、そして米国国防総省などの政府機関といった著名な企業が含まれています。
今週初めに公開されたレポートによると、すべてのアクティブなプログラムにおける年間平均支払い額は約42,000ドルです。一方、プラットフォーム上の上位100のバグ報奨金プログラムは、2024年7月1日から2025年6月30日までの間に5,100万ドルを支払いました。
「過去12か月間で、HackerOneのバグ報奨金プログラムは合計8,100万ドルを支払い、前年比13%増となりました。上位10プログラムだけで2,160万ドルを占めています」と同社は述べています。
「リサーチャーレベルでは、歴代トップ100の稼ぎ手が合計3,180万ドルを獲得しており、個々のリサーチャーが年間6桁の収入を安定して超えるようになっています。」
HackerOneは、AIの脆弱性が200%以上増加し、プロンプトインジェクションの脆弱性が驚異的な540%増加したことで、AIセキュリティにおける最も急速に拡大する脅威であることが確認されたと指摘しています。
同時に、XSS(クロスサイトスクリプティング)やSQLi(SQLインジェクション)などのセキュリティ問題は減少傾向にある一方で、不適切なアクセス制御やIDOR(不適切な直接オブジェクト参照)などの認可の不備は、報告件数が大幅に増加しています。
2025年には、HackerOne上の1,121のバグ報奨金プログラムがAIを対象範囲に含めており、前年比270%増加し、自律型AIエージェントによって560件以上の有効なレポートが提出されました。
同社は、過去1年間に調査した1,820人以上のリサーチャーのうち、70%が「ハンティング能力を高めるため」にワークフローでAIツールを使用していると付け加えています。
「今年はAIの脆弱性が200%以上増加し、企業はAIセキュリティの取り組みを昨年のほぼ3倍のペースで拡大しています」とHackerOne CEOのKara Sprague氏は述べています。
「同時に、AIを活用してハンティング能力を高める新世代の“バイオニックハッカー”が、かつてない規模でセキュリティ問題の発見を推進しています。」
