随着 AI 代理能够自动发现和利用软件漏洞,漏洞披露和“漏洞赏金”机制正在经历一场变革。安全研究人员提交的漏洞报告数量激增,这既为企业带来了更多高质量的发现,也带来了大量 AI 生成的低质量报告,给一些项目带来了巨大压力。同时,攻击者也利用 AI 更快地寻找零日漏洞,迫使企业加速修复和防御。这可能将重塑未来漏洞赏金的奖励结构、披露时限和整体安全思路。
漏洞赏金的新时代
十年前,为发现软件漏洞的研究人员提供奖励的计划才刚刚成为主流。当苹果公司在 2016 年首次推出漏洞赏金计划时,最高奖励为 20 万美元,到去年已增至 200 万美元。但随着 AI 的发展,这一切即将再次改变。
AI 模型不仅能自主识别软件漏洞,还能为其开发攻击工具。这导致漏洞披露项目收到的报告数量大增,彻底改变了漏洞赏金的经济学。
- 报告数量激增:独立安全研究员 Joseph Thacker 指出:“我今年提交的漏洞数量大概是去年的三倍。”
- 大公司承压:他预测,像谷歌这样的公司在漏洞赏金上的支出可能会是去年的两到十倍。
- 小公司更难:大型科技公司或许能承受这种压力,但大多数公司无法应对。
AI 带来的双重压力
AI 的介入压缩了漏洞发现和利用的时间线,对防守方和攻击方都产生了深远影响。
90 天的负责任披露窗口是为那个漏洞发现者稀少、漏洞利用开发缓慢的世界而建立的。那个世界已经一去不复返了。大语言模型压缩了这两个时间线。
攻击者利用 AI 发起的真实攻击日益紧迫。谷歌研究人员发现,一些网络犯罪分子已在使用 AI 工具开发并利用“零日漏洞”(即之前未知的漏洞)。
- 真实威胁已现:谷歌威胁情报组首席分析师 John Hultquist 表示:“我们都以为这迟早会发生,而这是我们看到的第一个证据。”
- 犯罪分子更具威胁:以往,只有少数技术高超的犯罪分子能使用零日漏洞,但 AI 正在降低这一门槛,使得更多犯罪分子能够掌握这种强大工具。
漏洞赏金计划的调整与应对
面对 AI 带来的报告泛滥,一些项目已经不堪重负。
- Curl 项目的困境:命令行工具 Curl 因收到大量 AI 生成的低质量报告,于今年 1 月终止了其漏洞赏金计划。项目组称,这给他们带来了“过载和滥用”。
- Linux 邮件列表的混乱:Linux 的创始人 Linus Torvalds 也表示,由于大量重复的 AI 漏洞报告,安全邮件列表变得“几乎无法管理”。
然而,情况也在变化。几个月后,Curl 的开发者表示,报告质量有所提高,收到了大量在 AI 辅助下完成的 高质量安全报告。同时,谷歌也调整了其漏洞奖励计划,降低了某些类别漏洞的奖励,同时提高了其他 更具挑战性和影响力 的漏洞的奖励。
未来的方向:从修补到架构
仅仅加快修补速度可能已不足以应对 AI 时代的挑战。许多研究人员认为,必须从根本上解决问题。
你无法通过不停地打补丁来摆脱困境。你需要构建能够让尽可能多的漏洞变得无关紧要的基础设施。
这意味着,未来的安全重点可能从被动地修复漏洞,转向主动地设计更安全的系统架构,从源头上消除或降低漏洞被利用的可能性。虽然 AI 改变了漏洞猎杀行业的动态,但 人类的专业知识 仍然是不可或缺的核心。正如云安全公司 Edera 的首席技术官所说:“这绝对仍然需要投入人力时间。”