新上线6天前0 投票
AI时代催生漏洞猎捕军备竞赛
十年前,奖励研究人员提交软件漏洞的“漏洞赏金”计划才刚刚兴起。如今,随着AI代理自主识别漏洞并开发利用工具的能力增强,漏洞披露领域正经历剧烈变革。独立安全研究员Joseph Thacker表示,他今年提交的漏洞数量是去年的三倍,并预计Google等公司今年在漏洞奖励上的支出将是去年的2到10倍。然而,这种“丰收”背后是供需关系的重塑:AI工具大幅降低了发现中低难度漏洞的门槛,导致赏金计划被淹没,而真正的高价值漏洞可能因此涨价。对于大多数无力承担高额支出的公司,压力尤为显著。与此同时,攻击者也在利用AI加速漏洞利用开发,这可能迫使90天披露窗口等传统标准被压缩。Thacker指出,目前AI代理已能发现“中低垂果实”,但明年这类提交将减少,因为许多漏洞已被提前挖出,部分公司可能被迫提高赏金。业界尚不确定长期供需动态,但可以预见的是,漏洞猎捕正从人工主导转向人机协作,这既提升了效率,也加剧了安全团队与攻击者之间的军备竞赛。