Яндекс выплатил 62 млн рублей за найденные уязвимости

В 2025 году Яндекс выплатил независимым исследователям 62 млн рублей в рамках программы «Охота за ошибками» — на 20% больше, чем в 2024 году.

• Вознаграждение получили авторы 706 отчётов — рост на 30% год к году.
• Максимальная выплата за критическую уязвимость в Яндекс Почте, Яндекс ID или Yandex Cloud — 3 млн рублей.
• Новое направление программы охватывает ИИ-модели Alice AI: за технические уязвимости платят до 1 млн рублей.

Программа bug bounty работает по стандартной схеме: независимые специалисты по информационной безопасности ищут уязвимости в сервисах и инфраструктуре компании и получают денежное вознаграждение за каждый подтверждённый отчёт. В прошлом году Яндекс вдвое поднял максимальный размер выплат — теперь за сообщение о критической уязвимости в ключевых сервисах можно получить до 3 млн рублей.

Самым результативным участником программы стал исследователь, приславший 59 отчётов об уникальных ошибках. Его суммарное вознаграждение составило 3,6 млн рублей.

Отдельное направление для ИИ-моделей

В 2025 году в программе появился новый раздел, посвящённый генеративным нейросетям. Исследователи, которые обнаружат технические уязвимости в семействе ИИ-моделей Alice AI и сопутствующей инфраструктуре, могут рассчитывать на выплату до 1 млн рублей.

Расширение программы на ИИ-направление отражает растущую роль нейросетевых сервисов в продуктовом портфеле компании. Отдельная категория вознаграждений позволяет привлечь к аудиту специалистов с профильной экспертизой в области безопасности языковых моделей.