人工智能正在给依赖错误赏金计划来发现软件漏洞的公司带来新的麻烦。
网络安全公司和开源软件项目正在处理大量人工智能生成的错误报告,其中许多是虚假或误导性的。这是来自金融时报的一份报告,该报告称,随着安全团队花费更多时间从垃圾邮件中筛选出真正的漏洞,越来越多的低质量提交迫使一些组织暂停错误赏金计划。
漏洞赏金也已成为一项大生意,包括 Meta、Microsoft、Apple 和 Crypto.com 在内的公司总共支付了至少 5800 万美元2025 年,属于比黑客先发现软件缺陷的研究人员。
但是,生成式人工智能工具也通过大规模生成大量不准确或低质量的漏洞报告,使漏洞赏金计划的利用变得更加容易。
根据总部位于旧金山的 Bugcrowd 的数据,通过其平台提交的报告在 3 月份的三周内增加了四倍多。该公司的客户包括 ChatGPT 开发商 OpenAI,该公司表示大多数报告都是假的。
由于人工智能生成的报告大量涌现,一些公司已经开始缩减其公共赏金计划。
网络安全公司 Sophos 的首席信息安全官 Ross McKerchar 告诉《金融时报》,“漏洞赏金将继续存在,但必须做出改变”。
4 月份,网络安全平台 HackerOne 和托管平台 Nextcloud 均暂停其付费赏金计划,Nextcloud 补充道,“无论严重程度如何,任何提交的内容都不会获得任何经济奖励。”
“正如您可能知道的那样,这是一个全行业的挑战,与其他挑战一样,我们一直无法找到方法来负责任地处理大量增加的低质量报告,”Nextcloud 写道。 “一旦找到一种可靠的方法来过滤掉省力报告,我们希望能够重新启动该计划。”
随着人工智能模型越来越善于发现漏洞,漏洞赏金消息随之而来。今年三月,Anthropic 推出了 Mythos,这是一种以网络为中心的人工智能模型,该公司称该模型可以比人类更快地识别漏洞。该公司目前对该模型保密,只允许科技巨头、安全公司和政府等机构访问。
4 月份,Claude Mythos 在内部测试期间发现了 Mozilla Firefox 中的 271 个漏洞,而本月早些时候,安全研究人员表示,该模型的预览版本帮助开发了针对 Apple M5 芯片的漏洞。
Myriad(由 Decrypt 母公司 Dastan 运营的预测市场平台)上的用户不相信 Claude Mythos 会在 6 月底公开发布,目前赔率仅为 18%。