Hệ thống bounty mã nguồn mở: Cạm bẫy bóc lột người làm công không công

Hệ thống bounty mã nguồn mở - từ các cuộc thi audit Web3 cho đến chương trình tìm lỗi bảo mật truyền thống - đều mắc phải một lỗi cấu trúc nghiêm trọng: chính người đăng bounty có quyền quyết định trả hay không trả tiền, dẫn đến xung đột lợi ích nghiêm trọng. Kết hợp với làn sóng báo cáo lỗi giả do AI tạo ra, sự sụp đổ của nhiều nền tảng và bất bình đẳng thu nhập cực đoan, hệ thống bounty hiện nay khiến các chuyên gia bảo mật và lập trình viên tài năng phải làm việc giá trị cao nhưng thường không được trả công xứng đáng.

Vấn đề cốt lõi: Người quyết xử án cũng là bị cáo

Tại hầu hết các nền tảng bounty đình đám như HackerOne, Bugcrowd, Immunefi, Code4rena hay Algora, người đăng bounty có quyền tuyệt đối quyết định trả tiền hay không mà không có hợp đồng ràng buộc hay bên trung gian độc lập.

Nhiều điều khoản bounty được viết với câu chữ như "theo quyền quyết định duy nhất của công ty" khiến các nhà nghiên cứu gần như không có quyền thương lượng. Thực tế, các nền tảng thường ưu tiên khách hàng trả tiền và áp đảo lực lượng lao động không được trả công.

Chuyên gia Katie Moussouris - người từng hỗ trợ xây dựng chương trình bug bounty của Lầu Năm Góc - gọi đây là "xung đột lợi ích nội tại". Các chiến thuật né tránh trả tiền như đánh giá lại phạm vi lỗi, gán mức độ lỗi thấp, hoặc phủ nhận báo cáo cũng được các dự án áp dụng triệt để.

Khía cạnh bịt miệng cũng rất rõ nét: một số nền tảng coi mọi báo cáo như thông tin mật của bên đăng chương trình, khiến nhà nghiên cứu có nguy cơ bị cấm nếu công khai phán quyết bất lợi, dẫn đến tình trạng các chuyên gia "mua sự im lặng" bằng NDA và áp lực pháp lý.

Bức tường ô nhục Web3 với gần 2,5 triệu USD bounty chậm hoặc không trả

Ở lĩnh vực Web3, với các nền tảng trung tâm như Immunefi và Code4rena, sự bất công được phơi bày rõ hơn bao giờ hết. Một bản ghi cộng đồng “Bug Bounty Wall of Shame” liệt kê gần 2,5 triệu USD bounty chưa thanh toán cho hàng loạt dự án.

Nhiều trường hợp điển hình: dự án Arbitrum chỉ trả 25% số tiền tối đa cho lỗ hổng ảnh hưởng tới 352,000 ETH (~680 triệu USD); Cronos trả $1,600 cho lỗi ảnh hưởng đến khoản tiền 2,5 triệu USD; Magic Link thậm chí không trả đồng nào dù có lỗ hổng liên quan tới 10 triệu USD.

Chính sách "Không vá lỗi, không trả tiền" của Immunefi tạo ra động lực ngược: nhiều dự án thừa nhận lỗi nhưng chọn không sửa để tránh trả bounty, khiến các hacker trắng trở thành người thiệt thòi.

AI và làn sóng báo cáo giả phá hủy mô hình kinh tế bounty

Vào năm 2026, chương trình bounty của curl - với 6,5 năm hoạt động và trả hơn 100,000 USD - đã phải đóng cửa do bị spam các báo cáo lỗi giả do AI tạo ra với số lượng tăng gấp 8 lần bình thường.

Các báo cáo AI này có văn phong trau chuốt, rất thuyết phục nhưng hoàn toàn sai lệch, khiến các đội ngũ tình nguyện viên kiệt sức khi phải kiểm chứng từng báo cáo giả mạo, gây tổn hại nghiêm trọng cả về mặt tinh thần và thời gian.

Hiện tượng này không riêng curl. Nhiều dự án mã nguồn mở khác như Django, Node.js, libxml2 đều chịu cảnh phải ngừng hoặc giới hạn chương trình bounty vì "AI Slopageddon" - một thuật ngữ do chuyên gia RedMonk đặt cho tình trạng ngập tràn báo cáo đáy sản lượng giả.

Các nền tảng truyền thống cũng không thua kém

HackerOne hay Bugcrowd - vốn là các nền tảng bounty lâu đời và phổ biến - cũng lộ ra nhiều tổn thất do bất công nội tại.

Một số nhà nghiên cứu nổi tiếng phàn nàn rằng phương thức hòa giải của HackerOne gần như vô hiệu. Có trường hợp cải tạo lỗi được ghi nhận và vá, nhưng nhà nghiên cứu liên tục bị bỏ mặc không trả tiền, thậm chí bị cấm khỏi chương trình khi đòi hỏi minh bạch.

Dữ liệu cũng cho thấy rất ít tài khoản tạo ra giá trị thực chất, đa số các researcher chỉ nhận được mức thu nhập thấp kém so với công sức bỏ ra. Một số lỗi nghiêm trọng nhận được trả tiền trên nền tảng chỉ bằng 1/100 đến 1/500 so với thị trường chợ đen.

Sự sụp đổ thảm hại của Bountysource

Nền tảng Bountysource, từng quản lý bounty cho hơn 55,000 issues trên GitHub, đã sụp đổ hoàn toàn sau những thay đổi điều khoản không minh bạch, khiến hàng ngàn USD tiền thưởng của nhà phát triển bị tịch thu.

Sau đó, Bountysource im lặng và phá sản, trong khi cộng đồng chỉ biết chấp nhận mất mát mà không có tiếng nói bảo vệ quyền lợi.

Vấn đề người quản lý dự án kiêm “quan tòa”

Ở một số dự án, người duy trì (maintainer) dự án kiêm luôn người xét duyệt và quyết định trả tiền bounty, gây ra nhiều xung đột lợi ích.

Điều này dẫn đến việc những đóng góp, sửa lỗi từ cộng đồng bị bác bỏ hoặc sửa đổi nội bộ mà không trả công, làm giảm sự hợp tác và tăng cạnh tranh không lành mạnh.

Nghiên cứu cũng ghi nhận các chương trình bounty thường tốn nhiều thời gian hơn để đóng issue liên quan so với những bug không bounty.

Giải pháp cho một hệ thống bounty công bằng

Một vài mô hình đã cho thấy lối thoát tiềm năng:

• Quỹ trung gian như FreeBSD Foundation thu tiền từ các công ty và thuê nhà thầu phụ, tạo sự phân công rõ ràng và hợp đồng ràng buộc.

• Nền tảng như Opire không thu phí developer, đẩy chi phí cho người thuê bounty.

• Immunefi bắt buộc các dự án phải giữ nguyên điều khoản bounty, đảm bảo mức trả tối thiểu.

• Zellic vận hành Code4rena với phí nền tảng bằng 0, từ bỏ mô hình khai thác giá trị.

Các cải cách quan trọng cần thiết bao gồm: hệ thống ký quỹ (escrow), trọng tài độc lập, phạm vi lỗi cố định, chia tiền bounty cho các báo cáo trùng lặp hợp lý, quyền công bố bắt buộc sau 90 ngày, và cơ chế phân công độc quyền cho phát triển.

Kết luận

Toàn bộ dữ liệu từ các nền tảng bounty lớn như Immunefi, Code4rena, HackerOne, Bugcrowd, Bountysource, Algora cho thấy một lỗi cấu trúc nghiêm trọng phổ biến: người quyết định trả tiền có lợi ích trong việc không trả tiền.

Hiện tượng này không phải lỗi cá nhân mà là trạng thái cân bằng của cả hệ thống, bị đẩy nhanh bởi sự xuất hiện của báo cáo lỗi giả do AI.

Lời hứa của hệ sinh thái bounty— rằng các chuyên gia có thể được trả công xứng đáng cho công việc giá trị — vẫn còn xa vời nếu không có các cải cách cấu trúc triệt để như đặt cọc ký quỹ, hợp đồng ràng buộc, trọng tài độc lập và loại bỏ xung đột lợi ích của người quyết xử.

Cho đến khi các thay đổi đó được thực thi hoàn toàn, hệ thống bounty sẽ tiếp tục là một công cụ khai thác lao động dưới vỏ bọc cơ hội.