AI 垃圾报告淹没漏洞赏金计划

关键信息

Bugcrowd 表示，在 3 月的三周内，其收到的报告数量增加了四倍多，而且大多数都被证明是虚假的。Sophos 首席信息安全官 Ross McKerchar 认为这个问题正迅速变得严重，漏洞赏金计划仍会存在，但它们的运作方式可能需要改变。

资讯摘要

《金融时报》报道称，运行漏洞赏金计划的公司正被人工智能生成的低质量漏洞提交淹没。漏洞赏金原本是企业付费给独立安全研究员，让他们负责任地披露软件中的漏洞，但生成式 AI 的兴起让人们更容易批量制造看起来“像样”的报告。结果，安全团队必须花更多时间筛掉误报和明显不靠谱的内容。curl 是一个广泛使用的互联网数据传输工具，它在 1 月暂停了付费漏洞赏金计划，原因是出现了“AI 垃圾报告激增”。Bugcrowd 也表示，3 月连续三周内其收到的报告数量增加了四倍多，而且大多数都被证明是假的，该平台的客户包括 OpenAI、T-Mobile 和 Motorola。

安全专家认为，这正在重塑漏洞赏金的经济模型：AI 一方面能帮助有经验的研究者更快发现漏洞，另一方面也降低了入门门槛，让新手和自动化系统更容易提交大量无效报告，甚至会误导一些老练的研究者。Sophos 首席信息安全官 Ross McKerchar 表示，低质量提交的激增正在成为重大问题，不过漏洞赏金计划不会消失，只是未来必须改变。文章还提到，漏洞赏金近年来越来越普及，大奖金额也在上升，例如 Google 去年总共支付了 1700 万美元，说明这一体系在安全披露中仍然非常重要。正因为如此，当前这波 AI 垃圾报告尤其值得关注，因为它正在削弱这一关键机制的效率。

资讯正文

向付费黑客寻找软件漏洞的公司正被大量由 AI 生成的低质量报告淹没，这迫使一些公司干脆暂停了这些项目。

运营“漏洞赏金”计划的企业长期以来一直依赖独立安全研究人员来发现漏洞。但随着 AI 工具的兴起，它们现在正被大量虚假的提交淹没。

Bugcrowd 的客户包括 OpenAI、T-Mobile 和 Motorola，该公司表示，3 月份三周内收到的报告数量增加了四倍多，但其中大多数最终都被证明是错误的。

Curl 是一款广泛用于在互联网上传输数据的工具，它在 1 月暂停了付费漏洞赏金计划，理由是“AI 垃圾报告激增”以及提交质量下降。

网络安全专家表示，生成式 AI 的进步正在重塑漏洞赏金计划的经济模式。虽然这些工具让有经验的研究人员能够更快地发现漏洞，但它们也降低了入门门槛，引发了大量自动化或错误的提交，企业必须逐一筛查。

网络安全集团 Sophos 首席信息安全官 Ross McKerchar 表示，低质量 AI 报告的大幅增加“正迅速成为一个重大问题”。他说：“漏洞赏金会继续存在，但它们将不得不改变。”

自 2000 年代初以来，漏洞赏金的受欢迎程度不断上升，一些项目会为最重大的发现提供六位数的奖金。谷歌去年共发放了 1700 万美元，高于 2021 年的 750 万美元。2022 年，它向一名发现其 Android 移动操作系统中漏洞的用户支付了单笔最高奖励 60.5 万美元。

McKerchar 表示，低质量提交的增加既来自第一次尝试找漏洞的业余爱好者，也来自现有研究人员，他们“有时会被这些 [AI] 代理带偏”。

来源与参考

1. 原始链接
2. Bug bounty businesses bombarded with AI slop