你没看错,现在有人用AI大模型批量"挖漏洞",然后去各大科技公司领奖金。这一波操作,直接把延续了二十多年的漏洞奖励机制搅乱了。
事情是这样的。
全球最知名的漏洞赏金平台Bugcrowd最近公布了一个数据:2026年3月短短三周内,他们收到的漏洞报告数量暴增了四倍多。注意是四倍,不是40%。而且这些报告大部分是假的——用AI自动生成的低质量漏洞报告,根本不存在真正的安全问题。
无独有偶,互联网工具Curl在2026年1月直接宣布暂停付费漏洞赏金计划,理由是"AI垃圾报告泛滥"。Curl的作者丹尼尔·斯滕伯格(Daniel Stenberg)写了一篇博客,说这些"永无止境的垃圾"让他精神压力很大——有些报告看起来像那么回事,但花时间核查之后发现完全是AI编造的。
Nextcloud也在2026年4月暂停了漏洞赏金项目,原因同样是低质量AI报告太多。
安全公司Sophos的首席信息安全官罗斯·麦克克查(Ross McKerchar)说了一句大实话:"漏洞赏金还会存在,但它们必须改变了。"
发生了什么?
以前发现软件漏洞是一门手艺活。安全研究人员需要深入理解代码、寻找逻辑缺陷、设计攻击方案——这是需要经验和创造力的工作。但现在,任何人打开ChatGPT或者Claude,让它自动扫描代码、生成漏洞报告,然后提交到赏金平台,就能完成整个流程。
麦克克查说,涌入的低质量报告来自三类人:
(1) 第一次尝试找漏洞的业余爱好者
(2) 被AI"带偏"了的现有安全研究人员
(3) 经验丰富的AI开发者,他们搭建了全自动的扫描和提交系统,"正在制造彻底的混乱"
AI在帮忙,也在添乱
有意思的是,AI并不是只会制造垃圾。HackerOne平台的数据显示,2026年以来漏洞报告总量增长了76%,但真正有效的漏洞比例稳定在25%左右。这意味着有人确实在用AI更高效地找漏洞。
Anthropic上个月推出了专门用于网络安全的AI模型Mythos,号称比人类更快找到软件缺陷。HackerOne已经接入了这类工具来自动筛选报告。
Bugcrowd的CEO戴夫·格里(Dave Gerry)说,AI会帮助人类漏洞猎手,但不会取代他们。"AI会在很多方面提供帮助,但我们永远不会取代人类的创造力。"
问题在于,AI制造的噪音太大了。企业需要花大量时间审核那些明显无意义的报告,这些时间本来可以用来处理真正的漏洞。
Google去年发了1700万美元漏洞奖金,是2021年的两倍多。但现在,审核团队可能被AI垃圾淹没了。Bugcrowd服务的客户包括OpenAI、T-Mobile和摩托罗拉——都是对安全极为重视的公司。
漏洞赏金制度的未来会怎样?企业开始引入更严格的背景审查,用AI来筛选AI报告。但根本矛盾没解决:漏洞赏金的初衷是用金钱激励独立研究者帮企业找漏洞,现在这套机制被AI冲击了。
一个健康的漏洞赏金市场,对你使用的每一款软件、每一个App的安全性都至关重要。如果这套机制因为AI垃圾而效率大降,最终吃亏的还是普通用户。
你可能会想:AI找漏洞难道不是好事?但现实是,能写出有价值的漏洞报告和能用AI批量生产看起来像漏洞报告的东西,是完全不同的两件事。前者让软件更安全,后者只是在浪费安全团队的时间。