AnthropicがバグバウンティプログラムをHackerOneで一般公開
Original: Anthropic Opens Security Bug Bounty Program to the Public on HackerOne View original →
公開バグバウンティプログラムの開始
AnthropicはHackerOneを通じてセキュリティバグバウンティプログラムを一般公開した。これまでは選別されたセキュリティ研究者のみが参加できる非公開プログラムとして運営されていたが、今後は誰でも参加できるようになった。
非公開期間の成果
非公開プログラムを通じて、セキュリティ研究コミュニティの発見がAnthropicの製品セキュリティ向上に大きく貢献した。外部研究者の視点により、内部チームでは見つけにくい脆弱性も多数発見されたという。
参加方法と報酬
HackerOne上のAnthropicプログラムページから脆弱性を報告できる。報酬は脆弱性の深刻度に応じて$100から$10,000が支払われる。プロンプトインジェクション、データ漏洩、モデル操作などAIシステム特有のセキュリティ脅威が主な関心対象となっている。
AI安全性への意義
AIモデルの複雑性が増す中、外部からのセキュリティ研究の重要性はますます高まっている。Anthropicの今回の決定は、透明性とコミュニティ参加でAIの安全性を高めようという業界全体の動向と一致している。独立した研究者がClaudeの安全性向上に正式に貢献できる窓口が開かれた形だ。
Related Articles
セキュリティ通知は量より信頼性が問われている。GitHubは、LLMによる文脈検証でsecret scanningの誤検知を75.76%減らし、目標の65%を上回ったとしている。
Anthropicが2月20日に発表したClaude Code Securityは、AIがコードベースを人間の研究者のように読み解き脆弱性を検出するツールだ。オープンソースコードで500件超の長期未発見バグを発見し、発表当日にサイバーセキュリティ株が急落した。
AnthropicはMozillaとの協業で、Claude Opus 4.6が2週間でFirefox脆弱性22件を見つけ、そのうち14件がhigh-severityと判定されたと説明した。両社はこれをAI-assisted security researchが実運用へ入った例として位置づけている。