LLSRC发布AI生成漏洞报告管理办法

致全体安全研究员：

衷心感谢各位长期以来对货拉拉安全体系的持续支持与投入。

随着人工智能模型功能的不断提升，运用AI设备辅助或自动化识别安全缺陷已成为网络安全领域的新方向。最近，我们确实接收到了部分借助AI技术找到的高品质安全问题报告，然而同时也遭遇了许多未经人工核实的低质量报告，甚至是被AI"虚构信息"诱导造成的错误报告。

为了科学分配有限的审查资源，保障LLSRC审查团队能够集中精力处理真实有效的安全问题，同时维护健康的社区环境，现特此颁布本公告，对AI辅助发现和生成的安全问题报告提交要求进行标准化：

支持AI技术应用

LLSRC大力支持安全研究员使用AI工具辅助或自动化挖掘安全漏洞，提高问题发现的效率，探索更多潜在风险点。

强化人工审核机制

针对AI辅助或自动化发现的安全问题报告，提交前必须经过人工验证。请确保您已完成对报告真实性及严重性的评估和重现，并在报告中详细记录人工验证过程，具体包括：漏洞危害描述、完整重现步骤、全部POC代码、关键环节及成果截图。

不合格报告处置

对于完全由AI生成、未经过人工重现或缺少有效验证截图的报告，平台将直接拒绝，且不提供拒绝理由说明。

违规账户管理

对于累计提交超过3个AI生成报告且未经提交者人工验证报告有效性的安全研究员，平台将警示您的行为；对于累计提交超过5个AI生成报告且未经提交者人工验证报告有效性的安全研究员，平台有权封禁您的LLSRC账户。

我们明确认识到AI技术正在从根本上改变安全研究的方法与效能，但高品质的安全问题报告目前仍需依靠人的判断力和责任心。期望广大安全研究员在享受技术便利的同时，严格遵守技术道德规范，坚守品质最低标准，共同建设一个专业、高效、可持续发展的安全问题披露与交流平台。

参与该管理办法的SRC机构：阿里云先知平台、蚂蚁SRC、腾讯SRC、百度SRC、字节SRC、京东SRC、滴滴SRC、美团SRC、快手SRC、深信服SRC、携程SRC、顺丰SRC、度小满SRC、BOSS直聘SRC、荣耀SRC、智联招聘SRC、科大讯飞SRC、中通SRC、小红书SRC、货拉拉SRC、小拉SRC、小鹏汽车SRC、理想汽车SRC、奇富SRC、陌陌SRC、vivoSRC、360SRC、OPPO安全中心、小米安全中心、唯品会SRC、补天漏洞响应平台、360漏洞云、BUGBANK、太初众测平台（排名不分先后）