AI冲击下,互联网漏洞赏金项目的困境与变革
负责识别和报告开源软件漏洞的研究人员如今面临着奖励取消的情况。管理互联网漏洞赏金项目的 HackerOne 宣布,在思考如何更有效地处理开源安全问题期间,将“暂停接收提交”。这一举措源于人工智能在漏洞发现领域的广泛应用,使得发现漏洞变得更加容易,原有的漏洞发现与修复的平衡被打破。
自 2012 年启动以来,由多家领先软件公司资助的互联网漏洞赏金项目已向报告漏洞的研究人员发放了超过 150 万美元的奖励。其中 80% 的奖励用于发现新漏洞,20% 用于支持修复工作。然而,HackerOne 指出,AI 辅助研究扩大了漏洞发现范围,提高了覆盖范围和速度,导致开源领域中发现漏洞和修复能力之间的平衡发生了实质性转变。这意味着,随着 AI 让发现漏洞变得更加轻松,原有的奖励模式需要进行调整。
首批受影响的项目之一是 Node.js 项目,这是一个用于 Web 应用程序的服务器端 JavaScript 平台,以其广泛的生态系统而闻名。根据其网站公告,项目团队虽会继续通过 HackerOne 接收和分类漏洞报告,但由于没有互联网漏洞赏金项目的资金支持,将不再支付奖励。这无疑会对研究人员的积极性产生一定影响。
互联网漏洞赏金项目并非唯一一个在漏洞挖掘中因 AI 出现而陷入困境的漏洞狩猎项目。今年 1 月,Curl 项目表示不再接受任何提交。上个月,谷歌也停止接受提交至其开源软件漏洞奖励计划的 AI 生成内容。这表明在 AI 技术的冲击下,整个漏洞挖掘行业都在面临着挑战和变革。
编辑观点:AI技术的发展给漏洞挖掘行业带来了巨大冲击,HackerOne等项目的调整是应对这一变化的必然举措。未来,如何在AI时代找到新的漏洞发现与修复的平衡,以及如何激励研究人员继续为开源软件安全贡献力量,将是行业面临的重要挑战。