长期以来,开展“漏洞赏金”计划的企业依靠独立安全研究人员发现软件漏洞。但如今,人工智能工具的兴起让企业被大量虚假报告淹没,一些公司不得不全面暂停此类项目。
Bugcrowd 的客户包括 OpenAI、T - Mobile 和摩托罗拉,该公司表示,在 3 月的三周时间里,收到的报告数量增加了四倍多,且大部分被证明是虚假的。广泛用于互联网数据传输的工具 Curl 在 1 月暂停了其付费漏洞赏金计划,原因是“人工智能生成的劣质报告激增”,且报告质量下降。
网络安全专家表示,生成式人工智能的发展正在重塑漏洞赏金计划的经济模式。虽然这些工具能让有经验的研究人员更快地发现漏洞,但也降低了参与门槛,导致大量自动生成或错误的报告蜂拥而至,企业不得不进行筛选。
网络安全公司 Sophos 的首席信息安全官罗斯·麦凯尔查表示,低质量人工智能报告的大幅增加“正迅速成为一个重大问题”。他说:“漏洞赏金计划会继续存在,但必须做出改变。”
自 21 世纪初以来,漏洞赏金计划越来越受欢迎,一些计划会为重大发现提供六位数的奖金。谷歌的漏洞赏金计划去年共发放了 1700 万美元,高于 2021 年的 750 万美元。2022 年,谷歌向一位发现其安卓移动操作系统漏洞的用户支付了高达 60.5 万美元的单笔最高奖金。
麦凯尔查指出,低质量报告的增加,一方面来自首次尝试寻找漏洞的新手,另一方面来自那些“有时会被(人工智能)工具误导”的现有研究人员。
编辑观点:人工智能给漏洞赏金计划带来了新挑战,企业需重新审视和调整计划,以应对低质量报告问题,保障计划的有效性和可持续性。
)
