Головна Оперативка

AI проти людей: як білі хакери «ламали» держсервіси в Києві

5 хвилин читання

19-20 лютого 2026 року в рамках KICRF 2026 відбулися перші публічні тестування кібер вразливостей — Bug Bash та BugHunter Battle: AI vs. Human.

Що таке Bug Bash та які ресурси «ламали»

Bug Bash – дводенний марафон з пошуку вразливостей, під час якого етичні хакери у режимі реального часу шукали вразливості у веб-ресурсах ДП «Агенції оборонних закупівель» DOT та ДП «Прозорро» і авторизованих майданчиків E-tender, SmartTender та Zakupivli.Pro, а представники команди BugStream приймали та валідували знайдені вразливості.

Участь в тестуваннях взяли більше 20 учасників. За словами організаторів, більшість з них мають досвід bug bounty та bug bash не лише в українських, а й у програмах глобальних технологічних компаній.

Читайте також: На форумі кіберстійкості відбувся перший публічний «кіберзлам» держресурсів за участі ШІ. В межах тестування BugBush етичні хакери та AI-модель від Bugstream шукали вразливості в ресурсах «Агенції оборонних закупівель» та «Прозорро». Детальніше про Bug Bash, мету та результати тестування SPEKA розповіла у новині.
Етичні хакери на тестуванні Bug Bush 2026

Як відбувалося тестування Bug Bash 2026

Участь брали три сторони:

  • Етичні хакери, які намагалися зламати систему.
  • Представники державних ресурсів: айтівці, розробники, спеціалісти кібербезпеки.
  • Організатори тестування — платформа Bugstream, які координували процеси.

Ми надаємо багхантерам доступ до середовища, пояснюємо, як воно працює, що можна тестувати, а що виходить за межі тестування. У них є тільки scope (жур. — чітко визначені межі проекту), їхні знання і якісь інструменти, сканери і тому подібне. Все, що їм потрібно — ноутбук і знання. Вони обмежені тільки областю тестування.

Джорж Папарига організатор Bug Bash 2026, співзасновник платформи BugStream та член правління Інституту досліджень кібервійни

За міжнародними стандартами: як визначали критичність ризиків

Тестування здійснювалося на платформі BugStream у контрольованому середовищі (testing) відповідно до погодженого scope. Для оцінки рівня критичності виявлених вразливостей використовувалася міжнародна система оцінювання Bugcrowd Rating Taxonomy, що відповідає найвищим світовим стандартам у сфері кібербезпеки.

Підписуйтеся на наші соцмережі

Мета Bug Bash або навіщо державі публічний кіберзлам

Залучення спільноти експертів для посилення кібербезпеки державних інформаційних ресурсів та виявлення вразливостей. За словами організаторів, завдяки Bug Bash вдається значно підвищити рівень захищеності систем та зміцнити довіру до цифрових сервісів держави.

Білі хакери на тестуванні Bug Bush 2026

AI BugHunter проти людей: хто ефективніше шукає вразливості

Поряд із багхантерами участь брала модель штучного інтелекту AI BugHunter – автономний інструмент для автоматизованого виявлення вразливостей.

Результати Bug Bash 2026

  • По ресурсам ДП «Агенція оборонних закупівель» DOT відсоток прийняття вразливостей склав ~46%. Інші 54% не відповідали scope або дублювали вже подані знахідки, маркувалися як n/a, out of scope або duplicate. 
  • По ресурсам Prozorro та електронних майданчиків відсоток прийняття вразливостей склав ~75%. Інші 25% було віднесено до n/a, out of scope або duplicate.

Прим. жур. — Відсоток прийняття вразливостей — це співвідношення між кількістю знайдених вразливостей та кількістю тих, які організація визнала валідними і прийняла в роботу для виправлення.

Переможці Bug Bash 2026

Організатори конкурсу поділилися зі SPEKA таблицею лідерів у тестуванні ресурсу «Агенції оборонних закупівель» DOT, Prozorro та авторизованих майданчиків E-tender, SmartTender та Zakupivli.Pro.

Leaderboard DOT
Leaderboard Prozorro та майданчиків

Призи Bug Bash 2026

Учасникам та переможцям були надані: призові чеки з виграною за пошук вразливостей сумою, павербанки для ноутбуків, худі, органайзери, термочашки та сертифікат учасника.

На Bug Bash етичні хакери отримують грошову винагороду в залежності від складності, та кількості знайдених вразливостей, а також загального фонду компанії.

Фонд на офлайн тестування Агенції оборонних закупівель становить 500 тисяч гривень, Prozorro та авторизовані майданчики (E-tender, SmartTender, Zakupivli.Pro) — 640 тисяч грн
Джорж Папарига

За результатами тестування не було знайдено критичних вразливостей, використання яких могло кардинально вплинути на процес роботи державних веб-ресурсів. За словами організаторів, усі прийняті та валідовані вразливості були передані відповідним командам розробників для опрацювання.

Джорж Папарига
організатор Bug Bash 2026, співзасновник платформи BugStream та член правління Інституту досліджень кібервійни

Bug Bash 2026 підтвердив доцільність залучення зовнішніх експертів для незалежної оцінки стійкості державних цифрових ресурсів. Формат дозволив забезпечити безперервність процесу та оперативну валідацію знахідок. Отримані результати будуть використані для подальшого підвищення рівня кіберзахисту протестованих державних систем

Інші матеріали

KICRF 2026 Bug Bash 2026 тестування вразливостей державних ресурсів штучний інтелект у кібербезпеці Редакція
Читати на speka.media