AI 正在重塑漏洞狩猎

在漏洞赏金计划从小众安全实践转向主流公司政策十年之后，一波新的 AI 工具正在颠覆漏洞研究的经济学。具代理能力的 AI 系统在发现软件弱点和开发利用代码方面都变得更强，它们向披露计划提交了大量报告，即便组织自身也在发现更多漏洞。

其结果是在研究人员、公司和攻击者之间加剧了一场军备竞赛。独立安全研究员 Joseph Thacker 曾为在自己工作中使用 AI 构建工具和方法，他表示比起去年此时，他大约多提交了三倍的漏洞。他预计压力将首先冲击大型公司。

“我猜像 Google 这样的公司在漏洞奖金上的支出将是去年的两到十倍，”Thacker 说。

他补充说，大型科技公司可以吸收这一增加的成本，但许多其他公司做不到。在他看来，AI 系统已经在发现较容易的漏洞，明年可能能提交的低垂果实会更少，因为其中许多已经会被发现。

披露期限承压

这一变化也在挑战长期以来关于负责任披露的规范。本月早些时候，安全研究员 Himanshu Anand 写道，90 天披露窗口是为那个漏洞发现稀少且开发利用代码缓慢的世界建立的，而大型语言模型压缩了这两条时间线。

这种压缩可能推动开发者更快地发布补丁，尤其是当攻击者比以往更快发现并武器化漏洞时。它也可能迫使组织改进内部部署修复的速度——这一过程一直很困难，因为如果在没有足够测试的情况下推出补丁，补丁本身可能会引入新的问题。

漏洞赏金计划本身已经发生了巨大变化。Apple 在 2016 年推出漏洞赏金时，其最高奖励为 $200,000。该公司在 2019 年将其提高到 $1,000,000，并在去年提升到 $2,000,000。

现在，随着 AI 同时增加漏洞的供给并加快利用代码的生成速度，研究人员表示，下一阶段的漏洞研究很可能与之前的阶段大不相同。

来源：