13-летний пользователь под псевдонимом Investor нашёл уязвимость в блокчейне TON при помощи Claude Code — ИИ-агента Anthropic для работы с кодом. Ошибка оказалась реальной: в рамках программы TON Security Bug Bounty подростку выплатили $4000, то есть около 294 тысяч рублей. По данным «Кода Дурова», речь шла о критической логической ошибке, которая нарушала верификацию данных.
История быстро разлетелась именно из-за возраста исследователя и участия ИИ. На первый взгляд всё звучит как мечта из рекламного ролика: школьник запускает Claude Code, просит найти баг и получает несколько тысяч долларов. Но в TON Core отдельно подчеркнули, что реальность обычно сложнее: большие языковые модели помогают находить подозрительные места, но вместе с этим выдают множество ложных срабатываний.
Подтверждение выплаты пользователю
История из серии «просто попросил Claude Code найти баг» звучит красиво, примерно как «ChatGPT, заработай мне миллион долларов», но вряд ли полностью отражает реальность. Почти наверняка автор оригинального репорта получил с десяток ложноположительных результатов, затем проверил их тем или иным способом, нашёл настоящий баг и только после этого отправил репорт.
— TON Core
Для TON Core в этой истории важен не возраст автора и не то, каким инструментом он пользовался, а качество самого отчёта. В команде отметили, что многие репорты сейчас действительно готовятся с участием LLM, включая корректные, но финальное решение всё равно зависит от реальности бага и соответствия условиям багбаунти. Проще говоря, ИИ может подсветить путь, но награду дают не за красивый промпт, а за проверенную уязвимость.
На фоне роста Claude Code и других ИИ-инструментов для разработки такая история выглядит показательной. Багбаунти становится доступнее для новичков, но не превращается в кнопку «найти уязвимость и получить деньги»: без понимания кода, проверки гипотез и аккуратного отчёта шанс утонуть в ложных находках остаётся огромным. Зато теперь даже 13-летний исследователь может зайти в область, где раньше требовался куда более высокий порог входа.
А вы как считаете: ИИ действительно откроет багбаунти для новичков или просто завалит программы безопасности тоннами слабых отчётов?
НовостиЖелезо и технологии
Источник: vgtimes.ru