永无止境的AI劣质内容正给企业漏洞赏金计划带来压力

{"text":[[{"start":10,"text":"向黑客付费以查找其软件漏洞的公司，正被AI生成的低质量报告所淹没，迫使部分公司彻底暂停相关项目。"}],[{"start":19.46,"text":"长期以来，运行“漏洞赏金”计划的企业一直依赖独立安全研究人员来发现漏洞。但如今，AI工具的兴起正让他们被大量AI生成的无效报告淹没。"}],[{"start":32.89,"text":"Bugcrowd表示，其客户包括OpenAI、T‑Mobile和摩托罗拉，在3月份为期三周的时间里，它收到的报告数量增加到原来的四倍多，其中大多数被证明是虚假报告。"}],[{"start":45.36,"text":"广泛用于在互联网上传输数据的工具Curl在1月份暂停了其付费漏洞赏金计划，理由是“AI劣质内容报告激增”，提交质量也有所下降。"}],[{"start":56.3,"text":"网络安全专家表示，生成式AI的进步正在重塑漏洞赏金计划的经济结构。虽然这些工具能让有经验的研究人员更快速地发现缺陷，但也在降低入门门槛，导致自动化或错误报告激增，公司不得不从中筛选。"}],[{"start":null,"text":"

"}],[{"start":74.07,"text":"网络安全集团Sophos的首席信息安全官罗斯•麦克卡尔表示，低质量AI报告的大幅增加“正在迅速演变为一个重大问题”。他说：“漏洞赏金计划会继续存在，但势必要做出改变。”"}],[{"start":89.39999999999999,"text":"自2000年代初以来，漏洞赏金计划日益流行，其中一些项目对最大的发现可提供六位数美元的奖金。谷歌的相关项目去年共发放了1700万美元，高于2021年的750万美元。它在2022年向一名发现其安卓移动操作系统漏洞的用户支付了单笔最高奖励60.5万美元。"}],[{"start":113.00999999999999,"text":"罗斯•麦克卡尔表示，低质量提交数量的上升，既来自第一次尝试寻找漏洞的业余人士，也来自那些“有时会被这些AI代理引导偏离方向”的现有研究人员。"}],[{"start":125.39999999999999,"text":"他补充说，还有“第三批人”，是一群“经验丰富的AI构建者”，他们开发了自动化的“端到端扫描和提交系统”，正在“造成极大的混乱”。"}],[{"start":135.72,"text":"Curl的创建者丹尼尔•斯坦伯格(Daniel Stenberg)在一篇博文中写道，这种“没完没了的劣质报告”处理起来“造成了严重的精神负担，有时还要花很长时间才能证伪”。"}],[{"start":146.91,"text":"软件公司Nextcloud于4月份暂停了其漏洞赏金计划，原因是“低质量报告数量大幅增加”。该公司表示，一旦找到有效筛选提交报告的方法，就希望恢复这一计划。"}],[{"start":161.35999999999999,"text":"AI生成报告激增之际，Anthropic上个月推出了其新的网络安全AI模型Mythos。该公司表示，Mythos能比人类更快发现软件漏洞。"}],[{"start":173.64,"text":"运营漏洞赏金计划的公司开始引入更严格的背景审查来应对这一问题，同时还构建AI智能体来对提交内容进行初步分类和筛选。"}],[{"start":184.17999999999998,"text":"HackerOne表示，其漏洞报告平台为高盛、谷歌和美国国防部提供服务。该公司称，今年已“引入新的基于智能体的验证功能”，以“帮助机构管理大量的发现”，例如由Mythos等模型生成的结果。"}],[{"start":199.51,"text":"该公司表示，截至今年3月的一年里，提交数量增长了76%。但它同时称，在过去一年中，被标记为真实漏洞的报告占比一直维持在25%。"}],[{"start":212.19,"text":"HackerOne的首席执行官Kara Sprague表示，近几周公司看到使用AI的“更高质量”报告有所增加。她补充说，鉴于黑客正在利用这项技术发现更多漏洞，AI生成的提交数量上升“并不是一个让我们完全拒绝它们的充分理由”。"}],[{"start":230.44,"text":"Bugcrowd首席执行官戴夫•杰里表示，像Anthropic的Mythos这样的发展将帮助人类漏洞赏金猎人，而不是取代他们。他说：“AI会在很多方面提供帮助，但我们永远无法取代那种人类的创造力。”"}]],"url":"https://audio.ftcn.net.cn/album/a_1779001112_5526.mp3"}