AI带来的影响初现:互联网漏洞赏金大幅下降

新闻
10小时前

AI带来的影响初现:互联网漏洞赏金大幅下降_副本.png

本文关键看点:

#01

研究人员发现一个中等严重性漏洞,此前HackerOne为该类型漏洞付1843美元,现在则只有297美元。


#02

互联网漏洞赏金(IBB)项目目前暂停,很有可能是出于重新评估漏洞价值的原因。


#03

AI导致漏洞发现成本低了许多,生成报告也很容易扩展。但仍然需要人来验证影响、去重报告、判断某事是否真的越过安全边界、协调披露机制,并确保安全修复。


▍以下正文内容基于英文原文编译,可能存在语义偏差,请以原文为准。


以下为正文


至少有一名漏洞猎手发现了一个开源安全漏洞,并通过HackerOne积压的互联网漏洞赏金(IBB)项目在数月前提交了报告,最终获得了报酬——但奖励金额却大幅缩水。同样,一个关键漏洞的新IBB奖金仅为2257美元,而此前为9250美元。HackerOne发言人表示:"IBB项目目前暂停,同时我们正在评估对该项目的调整,以最大化对研究人员、赞助商和开源生态系统的价值。"


今年1月,The Register与黑客Jakub Ciolek交谈,他表示自己去年秋天通过HackerOne的IBB项目报告了Argo CD(一款流行的Kubernetes控制器)中的两个拒绝服务漏洞。Ciolek原本预计会收到约8500美元——但HackerOne却让他等了数月,在The Register联系该漏洞赏金平台后,才终于收到了邮件。


这些事件的发生并非偶然。随着AI工具能够自动生成漏洞报告并大规模扩展,漏洞猎人们提交的报告数量激增——但质量却良莠不齐。这一变化正在重塑漏洞赏金经济的格局,同时也引发了关于开源安全的深刻反思。

01-AI如何改变漏洞发现的经济学

AI驱动工具的出现从根本上降低了发现漏洞的成本,也使得生成报告变得前所未有的简单。HackerOne自己的数据证实了这一点:研究人员现在提交的高质量漏洞报告比例正在大幅下降,而垃圾报告的数量却在飙升。

这种变化的原因是多方面的。首先,AI工具使任何人——无论技术背景如何——都能生成看似专业的漏洞报告,其中包含正确格式的PoC(概念验证)。其次,AI生成的报告往往看起来很专业,但实际上缺乏对实际安全影响的真正理解。最后,当研究人员的报酬与其报告数量挂钩时,AI生成的大量低质量报告就会涌入平台。

02-开源项目的困境

像curl这样的知名开源项目已经感受到了压力。curl的安全负责人Daniel Stenberg在博客中详细描述了AI"垃圾报告"如何摧毁了该项目的漏洞赏金计划:确认的漏洞比例从超过15%暴跌至不足5%。处理这些无意义的报告占用了维护者大量的时间和精力,严重影响了他们的工作积极性。

03-仍然需要人类判断

尽管AI能够大规模生成报告,但验证影响、去重、判断某事是否真正跨越安全边界、协调披露机制,并确保安全修复——这些仍然需要人类来完成。AI可以加速发现,但最终的决策和协调仍然掌握在安全专业人员手中。

HackerOne的决定反映了一个更大的行业趋势:当AI降低了漏洞发现的门槛,传统的漏洞赏金模式正在被重新审视。IBB项目的暂停可能是暂时的,但它揭示了一个根本性的问题:在AI时代,我们如何评估和奖励安全研究工作?