AI漏洞泛滥，企业难辨虚假报告，漏洞赏金计划受冲击

简要概述

* 运营漏洞赏金计划的公司报告低质量的AI生成提交显著增加。
* HackerOne 和 Nextcloud 在一波假报告后都暂停了漏洞赏金计划。
* 安全公司表示，AI工具正在改变漏洞狩猎，使得大规模提交报告变得更容易。

人工智能正在为依赖漏洞赏金计划发现软件漏洞的公司带来新的头痛问题。
网络安全公司和开源软件项目正面临AI生成的漏洞报告激增，其中许多是虚假或误导性的。据《金融时报》报道，低质量提交的增加迫使一些组织暂停漏洞赏金计划，因为安全团队花更多时间筛选真正的漏洞与垃圾信息。
漏洞赏金也已成为一项大生意，包括Meta、微软、苹果和Crypto.com在内的公司在2025年共向发现软件缺陷的研究人员支付了至少5800万美元。

然而，生成式AI工具也使得利用漏洞赏金计划变得更容易，通过大规模生成大量不准确或低质量的漏洞报告。

据旧金山的Bugcrowd称，三月的三周内，通过其平台提交的报告数量增加了四倍以上。该公司客户包括ChatGPT开发商OpenAI，表示大部分报告都是虚假的。
由于AI生成报告的洪水，一些公司已经开始收缩其公开的赏金计划。

“漏洞赏金将会继续存在[but]，它们必须改变，”网络安全公司Sophos的首席信息安全官Ross McKerchar告诉《金融时报》。
在四月，网络安全平台HackerOne和托管平台Nextcloud都暂停了付费赏金计划，Nextcloud还补充说“无论严重程度如何，任何提交都不会获得经济奖励。”
“正如你们可能知道的，这是行业范围内的挑战，和其他公司一样，我们也未能找到负责任地处理大量低质量报告的方法，”Nextcloud写道。“我们希望在找到一种可靠的过滤低效报告的方法后，能够重新启动该计划。”
随着AI模型在发现漏洞方面变得越来越擅长，漏洞赏金的消息也不断传来。今年三月，Anthropic推出了Mythos，一款以网络为重点的AI模型，声称能比人类更快地识别漏洞。该公司目前对该模型保密，只允许科技巨头、安全公司和政府访问。
四月，Claude Mythos在内部测试中发现了Mozilla Firefox的271个漏洞，而本月早些时候，安全研究人员表示，该模型的预览版本帮助开发了针对苹果M5芯片的漏洞利用工具。
Myriad——由_Decrypt_母公司Dastan运营的预测市场平台的用户，不相信Claude Mythos会在六月底之前公开发布，目前预计概率只有18%。