AI成为漏洞猎手……成果参差不齐
漏洞赏金平台正经历一个繁荣期。HackerOne作为最大的安全漏洞奖励生态之一,在2025年记录了85000份有效提交,相比前一年增长了7%。这对信息安全来说是个好消息吗?不完全是。
这种增长背后隐藏着一个更复杂的现实:人工智能彻底改变了安全研究人员追踪漏洞的方式。AI模型现在可以以令人震惊的速度扫描代码,识别可疑模式,并自动生成报告。问题是什么?它们也产生了大量的误报和"粗制滥造的报告"。
好坏参半
因此这个数量增长隐藏了一个日益增长的问题:提交质量在下降。平台的审核团队现在必须在真正相关的漏洞和业界现在称为"垃圾信息"之间进行区分——这些是由AI工具大规模生成的草率报告,没有经过适当的人工验证。
有点像给数百万名侦探配备了自动放大镜,但许多人都指着墙上的每一个影子大喊"发现漏洞了!"。
生态系统的挑战
这种情况带来了几个实际挑战。首先,开发者被淹没在通知中。其次,安全专家花费时间分析无关报告会浪费资源。最后,这稀释了真正安全发现的实际影响。
HackerOne等平台现在必须完善其验证系统,以区分合法贡献和无监督的AI生成内容。这是一项平衡的工作:鼓励创新和自动化,同时不让系统被数字垃圾堵塞。
展望
加密生态系统对安全漏洞仍然特别脆弱——代码错误可能瞬间造成数百万的损失。因此从理论上讲,漏洞报告的增加令人鼓舞。不过,社区需要制定更严格的标准,以确保AI仍然是辅助工具,而不是噪音生成器。