摘要:生成式AI引发漏洞报告质量危机,多家企业因低质报告泛滥暂停悬赏计划。尽管AI检测能力快速提升,但真实漏洞识别仍面临筛选困境,行业亟待建立可信机制。
币圈界报道:
AI生成漏洞报告激增迫使企业叫停悬赏机制
依赖外部研究人员发现软件安全隐患的企业正遭遇前所未有的挑战。近期大量由人工智能生成的漏洞提交涌入主流安全平台,其中绝大多数包含错误信息或误导性描述,严重干扰了正常的安全评估流程。
悬赏生态面临信任危机,部分平台已全面冻结奖励
漏洞众测已演变为成熟商业体系,科技巨头近年累计向发现关键缺陷的研究者发放数千万美元激励。然而,随着生成式AI工具被广泛用于伪造报告,虚假内容数量呈指数级增长,导致部分机构不得不暂停公开悬赏项目。
旧金山一家头部漏洞众测平台数据显示,三月份提交量较上月飙升逾四倍,经初步分析,超八成报告缺乏有效验证依据。面对持续涌入的无效数据,多位安全负责人坦言:“当前模式已难以为继,必须重构筛选与认证体系。”
自四月以来,已有多个网络安全服务商及云托管平台宣布无限期中止有偿悬赏活动,并明确表示现阶段不会对任何提交内容支付报酬。相关声明指出:“这不仅是单个企业的应对措施,而是整个行业共同面临的结构性难题,目前尚未形成可落地的自动化甄别方案。”
AI检测能力跃升与真实漏洞挖掘间的矛盾凸显
尽管人工智能在漏洞识别方面进步显著,其实际表现仍存在明显局限。三月初,一家技术公司发布专精于网络安全领域的新型AI模型,宣称可在毫秒级完成对主流浏览器组件的漏洞扫描,效率远超人工审查。
该模型当前处于封闭测试阶段,仅限特定合作机构使用。内部测试结果显示,其在多个开源项目中成功定位数百个潜在风险点。更值得关注的是,其预览版本曾协助研究人员构建针对特定芯片架构的攻击链,引发业界对技术外泄风险的高度警惕。
市场调研机构预测,鉴于潜在滥用风险,该模型短期内公开发布的可能性极低,预计将在完善权限控制和审计机制后逐步开放。”
声明:本站所有文章内容,均为采集网络资源,不代表本站观点及立场,不构成任何投资建议!如若内容侵犯了原著者的合法权益,可联系本站删除。