人工智能时代掀起“抓虫”竞赛

十年前，漏洞赏金计划刚进入主流，标志着机构从排斥安全研究转向主动接纳漏洞报告并及时修复。苹果2016年启动赏金计划时最高奖励20万美元，2019年升至100万，2023年达200万美元——但这一趋势正被AI彻底改变。当前，具备自主能力的AI模型不仅能高效发现漏洞，还能自动生成攻击工具（exploits），导致漏洞提交量暴增。一方面，科技巨头虽能承受更高赏金支出（如谷歌可能比去年多付2–10倍），但多数中小企业难以应对；另一方面，大量低质量AI生成报告已造成严重干扰——Curl项目因不堪其扰于今年1月终止赏金计划，Linux安全邮件列表也因重复AI报告而几近瘫痪。值得注意的是，AI同样赋能攻击者：谷歌近期发现犯罪团伙正用AI挖掘零日漏洞（如绕过开源系统双因素认证），证实AI驱动的新型攻击已成现实。过去为人工时代设计的‘90天负责任披露’规则（即发现漏洞后90天内公开）已严重滞后——大语言模型极大压缩了漏洞发现与利用周期。与此同时，企业打补丁的压力剧增，而大规模部署未经充分测试的补丁又可能引发宕机等严重后果。面对挑战，行业正从单纯依赖‘打补丁’转向构建更健壮的底层架构：安全专家强调，不能仅靠修补应对，而应通过系统性设计（如默认加固、最小权限、内存安全语言等）让大量漏洞在实际中变得无法利用。尽管AI提升了效率，人类专家仍不可替代——尤其在关键基础设施、复杂逻辑漏洞和伦理引导方面。未来，高价值漏洞的发现与响应将更依赖人机协同，而非简单替代。