В 2025 году количество награждений в программе «Охота за ошибками» выросло на 30%

безопасность
Фото cottonbrostudio/pexels.com
Яндекс подвёл ежегодные итоги программы «Охота за ошибками», посвящённой поиску уязвимостей в сервисах и инфраструктуре компании. В 2025 году компания выплатила независимым исследователям 62 млн рублей — на 20% больше, чем годом ранее. Они получили вознаграждение за 706 отчётов — это на 30% больше, чем в 2024 году.

В «Охоте за ошибками» принял участие 701 исследователь. Они прислали 1,3 тысячи полезных отчётов, соответствующих правилам программы, что на 30% превышает результаты прошлого года. Эти отчёты — вклад сообщества в безопасность пользователей: технические знания исследователей и детальные описания уязвимостей помогают Яндексу дополнительно усиливать защиту сервисов. Яндекс выплатил награды за все уникальные и впервые найденные уязвимости. Остальные отчёты описывали ошибки, уже выявленные другими исследователями или командой безопасности Яндекса.

За 2025 год 21 участник программы заработал свыше 1 млн рублей. Самый успешный участник прислал 59 отчётов об уникальных ошибках и заработал 3,6 млн рублей. Второе и третье места заняли исследователи, получившие 3,2 млн и 3,1 млн рублей. Самые крупные вознаграждения за одну найденную уязвимость составили 2 млн, 1,5 млн и 1,2 млн рублей. Чаще всего багхантеры присылали отчёты об XSS-уязвимостях, связанных с риском выполнения вредоносного кода на сайтах.

Яндекс постоянно развивает программу и актуализирует её условия. В прошлом году компания вдвое увеличила максимальный размер вознаграждения: теперь за сообщение о критической уязвимости в Яндекс Почте, Яндекс ID или Yandex Cloud «белые хакеры» могут получить до 3 млн рублей.

В 2025 году в программе появилось отдельное направление, связанное с генеративными нейросетями. Исследователи, которым удастся отыскать технические уязвимости в семействе ИИ-моделей Alice AI и сопутствующей инфраструктуре, могут получить до 1 млн рублей.

Для развития и поддержки сообщества «Охоты за ошибками» Яндекс провёл ежегодный митап. На него пригласили лучших участников программы: они смогли пообщаться с командой безопасности Яндекса и обменяться опытом.

Яндекс регулярно проводит внешние проверки безопасности. Программа «Охота за ошибками» — один из таких инструментов, который позволяет получить дополнительную независимую оценку уровня безопасности сервисов и надёжности инфраструктуры со стороны сообщества. Помимо этого, Яндекс постоянно проводит внешние аудиты для проверки устойчивости инфраструктуры к атакам и безопасности сервисов.

В 2026 году Яндекс выделит 100 млн рублей на вознаграждения участников «Охоты за ошибками».