XLSRC 规范 AI 生成漏洞报告的公告

各位白帽子朋友：

衷心感谢大家长久以来对小拉安全体系建设的鼎力支持。

伴随大模型能力飞速提升，借助 AI 工具辅助或自动挖掘漏洞已成为安全研究的新风尚。近期，我们确实接收了部分由 AI 协助发现的高质量漏洞报告，但也遭遇了海量未经人工核验的无效报告，甚至是被 AI“幻觉”误导导致的误报。

为合理配置有限的审核资源，确保 XLSRC 审核团队能专注于真实有效的漏洞，同时维护良好的社区生态，现特发此公告，对 AI 辅助挖掘及生成的漏洞报告提交标准予以规范：

提倡 AI 应用

XLSRC 大力鼓励白帽子利用 AI 工具辅助或自动化挖掘漏洞，以提升漏洞发现效率，发掘更多潜在风险。

强化人工核验

针对 AI 辅助或自动化挖掘产出的漏洞报告，提交前必须完成人工核验。请确保您已对报告真实性与危害性完成评估和复现，并在报告中详尽提供人工核验结果，涵盖但不限于：漏洞危害阐述、详细复现路径、完整 POC、关键步骤及结果截图。

无效报告处置

对于直接由 AI 生成、未经人工复现或未提供有效核验结果截图的报告，平台将直接驳回，且不提供驳回原因说明。

违规账号处理

对于累计提交超过 3 个 AI 生成报告且未经上报者人工核验报告有效性的白帽子，平台将发出行为提醒；对于累计提交超过 5 个 AI 生成报告且未经上报者人工核验报告有效性的白帽子，平台有权封禁您的 XLSRC 账号。

我们深知 AI 技术正深刻重塑安全研究的方式与效率，但高质量漏洞报告目前仍离不开人的判断与责任感。期望广大白帽子在享受技术红利的同时，严守技术伦理，坚守质量底线，共同维护一个专业、高效、可持续发展的漏洞披露与交流平台。

参与本处置公告的 SRC 组织：阿里云先知平台、蚂蚁 SRC、腾讯 SRC、百度 SRC、字节 SRC、京东 SRC、滴滴 SRC、美团 SRC、快手 SRC、深信服 SRC、携程 SRC、顺丰 SRC、度小满 SRC、BOSS 直聘 SRC、荣耀 SRC、智联招聘 SRC、科大讯飞 SRC、中通 SRC、小红书 SRC、货拉拉 SRC、小拉 SRC、小鹏汽车 SRC、理想汽车 SRC、奇富 SRC、陌陌 SRC、vivoSRC、360SRC、OPPO 安全中心、小米安全中心、唯品会 SRC、补天漏洞响应平台、360 漏洞云、BUGBANK、太初众测平台（排名不分先后）