AI冲击下：漏洞赏金奖励大幅缩水

点击上方「★星标」获取更多精彩，别遗漏重要资讯！

#01

安全专家指出，以往中等严重程度的漏洞可获1843美元，如今HackerOne仅支付297美元。

#02

互联网漏洞赏金计划（IBB）现已暂停，推测是为重新评估漏洞的实际价值。

#03

AI大幅降低了漏洞挖掘成本，报告生成也极易扩展。但验证危害、剔除重复、界定安全边界、协调披露及落实修复，仍需人工介入。

✦

以下为正文

✦

至少有一位漏洞猎人发现开源安全缺陷，并通过HackerOne积压的互联网漏洞赏金（IBB）项目提交了报告，虽最终获酬，但金额锐减。类似地，某严重漏洞的IBB奖金从9250美元降至2257美元。HackerOne发言人回应称："IBB项目暂时中止，我们正评估调整方案，以最大化对研究人员、资助方及开源生态的价值。"

今年1月，The Register采访黑客Jakub Ciolek，他透露去年秋季通过HackerOne的IBB项目提交了Argo CD（热门Kubernetes控制器）中的两个拒绝服务漏洞。Ciolek预期奖金约8500美元，却苦等数月，直至The Register联系平台后才收到通知。

此类现象并非巧合。随着AI工具能自动生成漏洞报告并规模化扩展，猎人提交的报告数量激增，但质量参差不齐。这一趋势正重塑漏洞赏金经济格局，也引发对开源安全的深层思考。

AI驱动工具的出现，根本性降低了漏洞发现成本，让报告生成变得前所未有的便捷。HackerOne内部数据印证了这点：高质量漏洞报告占比显著下滑，而垃圾报告数量却急剧攀升。

造成此变化的原因多元。首先，AI工具让无技术背景者也能生成看似专业的报告，包含格式规范的PoC（概念验证）。其次，AI报告表面专业，实则缺乏对真实安全影响的深刻理解。最后，当报酬与报告数量挂钩时，海量低质量AI报告便涌入平台。

知名开源项目如curl已倍感压力。其安全负责人Daniel Stenberg在博客详述AI"垃圾报告"如何摧毁项目漏洞赏金计划：确认漏洞比例从超15%骤降至不足5%。处理这些无效报告耗费维护者大量精力，严重打击其工作热情。

尽管AI能批量生成报告，但验证影响、去重、判定是否突破安全边界、协调披露机制及确保修复，仍需人类完成。AI可加速发现，但最终决策与协调权仍掌握在安全专家手中。

HackerOne的举措折射出行业大趋势：当AI降低漏洞发现门槛，传统赏金模式正被重新审视。IBB项目暂停或为暂时，却揭示根本问题：在AI时代，我们该如何评估与奖励安全研究工作？

🎉 万众期待的#数字安全交流群正式上线！欢迎加入粉丝社群！

🎁 涵盖多种报告、产业趋势与技术动态

这里汇聚行业精英，共探最新产业动向与技术热点。我们特备专属福利，只为回馈最忠实的支持者！

👉 扫码即刻加入，精彩不容错过！

😄 哈哈，群内见！

更多推荐