AI生成漏洞报告泛滥，企业漏洞赏金计划不堪重负

漏洞赏金计划（Bug Bounty Program）一直是网络安全生态中重要的一环——企业通过向发现安全漏洞的研究人员支付报酬，激励白帽黑客帮助修复产品缺陷。然而，这一模式正面临新的挑战：生成式人工智能的快速发展，使得低质量、重复甚至虚假的漏洞报告如潮水般涌入。

据Ars Technica援引《金融时报》记者Jamie John的报道，多家大型科技公司的漏洞赏金计划管理员发现，近几个月来，由AI生成的漏洞报告数量激增。这些报告通常使用自然语言模型批量制作，内容看似专业，实则缺乏可复现的步骤或有效的技术细节。一位不愿具名的安全团队负责人称，他们每天需要处理数百份类似报告，其中超过70%是AI生成的‘垃圾’。

AI制造的‘信息噪声’

漏洞赏金平台HackerOne、Bugcrowd等也证实了这一趋势。一位平台发言人表示：“我们注意到一些研究者使用ChatGPT或其他AI工具生成漏洞描述，但并未实际进行测试。这些报告往往充斥着似是而非的术语，但根本经不起推敲。”他补充说，这类行为不仅浪费了审核团队的时间，还可能导致真正的漏洞被淹没。

“这就像用一把散弹枪扫射，试图击中一个靶心。但AI生成的报告只是制造了更多的噪声。”——某漏洞赏金计划管理员

事实上，AI生成的漏洞报告并不总是完全无效。少数情况下，AI能够基于已知CVE（通用漏洞披露）信息，组合出看似合理的攻击路径，但实际环境中由于版本差异或配置不同，漏洞并不存在。这种“几乎正确”的报告更具欺骗性，需要审核人员花费更多精力验证。

政策与伦理的灰色地带

漏洞赏金计划的规则通常要求研究人员自行测试并提交有效漏洞。AI生成报告不仅违反了大多数平台的服务条款，也可能构成欺诈——因为提交者明知漏洞不存在，却试图以此获取报酬。然而，由于AI工具生成的内容难以追踪来源，平台往往难以区分是恶意滥用还是研究者的无心之失。

一些公司已经开始调整审核流程。微软的漏洞奖励计划负责人表示，他们引入了自动化检测工具，用于识别AI生成的文本模式，包括重复的句式、夸张的描述以及缺乏具体操作步骤等特征。同时，他们提高了对有效漏洞的奖金，而对低质量报告则采取更严厉的惩罚措施，包括暂停账户。

但问题在于，道高一尺，魔高一丈。随着AI模型不断进化，生成的文本可以更加逼真。安全研究员Viktor M.在推特上指出：“AI正在学习如何假装自己是人类提交漏洞。也许不久我们就会看到AI和AI之间的猫鼠游戏——用来检测AI报告的AI，以及用来生成更逼真报告的AI。”

编者按：效率与诚信的平衡

漏洞赏金计划的初衷是激励安全研究，但AI的介入让这一体系面临新的挑战。一方面，AI可以辅助研究人员发现更多漏洞，提升效率；另一方面，滥用AI制造垃圾信息的行为破坏了社区的信任。科技公司需要在拥抱AI工具的同时，建立更严格的验证机制和透明的评分体系。对于提交者而言，诚信仍然是最重要的原则。毕竟，漏洞赏金的本质是协作，而非投机。

值得注意的是，这一现象并非孤例。在学术评审、内容创作、客服支持等领域，AI生成的垃圾信息同样泛滥。如何区分人类智慧和机器噪音，将成为未来几年内各行业共同面对的难题。

本文编译自Ars Technica