安全研究人員正利用大語言模型實現偵察自動化、逆向工程API，并以前所未有的速度掃描代碼庫。通過將AI工具應用于從模糊測試、漏洞利用自動化到跨代碼庫和網站的模式識別等各種技術，研究人員正以更快的速度發現漏洞。

HackerOne高級漏洞賞金計劃經理Crystal Hazen表示：“過去一年，我們進入了所謂的‘仿生黑客’時代，即人類研究人員利用自主式AI系統收集數據、進行分類并推進發現。”HackerOne已在其平臺上添加了AI工具，以幫助簡化提交和分類流程。

HackerOne的研究發現，與2024年相比，今年與AI相關的有效漏洞報告數量增長了210%。同時，由于漏洞賞金計劃不斷發展，以應對AI應用中的漏洞，今年為AI漏洞支付的總賞金也激增了339%，其中提示注入漏洞、模型操縱和不安全的插件設計占到了大部分發現結果。

AI垃圾加重了防御者的負擔

行業專家建議，AI應僅作為“研究助手”或指導工具，而非漏洞發現的主要機制。

漏洞賞金平臺Intigriti的首席黑客官Inti De Ceukelaire表示，AI為黑客提供了公平的競爭環境，因為它可以幫助技能較低的研究人員識別潛在易受攻擊的系統或分析代碼中的漏洞。但基于AI的分析結果并不總是可靠的，這帶來了實際問題。

De Ceukelaire告訴記者：“我們看到，AI成為了那些認為自己可能有所發現的人的回聲室和放大器，誘使他們陷入確認偏誤的惡性循環。”

處理外部漏洞報告的安全團隊，需要對那些明顯嚴重依賴AI的收到的報告越來越持懷疑態度。

De Ceukelaire表示：“提供分類服務的漏洞賞金平臺可以提供幫助，因為它們能夠衡量研究人員隨時間推移的記錄，并利用深入的技術在報告到達公司之前檢測和識別出AI垃圾。”

其他安全專家也認同，到目前為止，將AI工具應用于漏洞搜尋的結果好壞參半，同時他們認為，通過仔細分類可以緩解這些問題。

網絡安全與合規咨詢公司ProCircular的進攻性網絡行動主管Bobby Kuzma表示：“正確應用和驗證的AI工具確實能提供高影響力的發現結果，但我們也看到，大量報告讓相關項目不堪重負，其中大部分報告，委婉地說，都是垃圾。”

對一些AI工具生成的大量質量參差不齊的報告進行分類，給資源不足的項目帶來了壓力，包括那些與關鍵開源軟件項目相關的項目。

例如，curl項目——一種常用于下載文件的命令行工具——已公開呼吁停止提交AI檢測到的漏洞。項目維護人員抱怨稱，他們花費了太多時間處理使用AI工具生成的低質量漏洞報告。

項目負責人Daniel Stenberg將大量未經證實和虛假的報告比作拒絕服務攻擊。最近，在收到部分由AI工具生成的真正漏洞報告后，Stenberg緩和了他的批評。

“誤報”如潮水般涌來

Cobalt.io首席技術官Gunter Ollmann警告稱，AI正在加劇供應商因常常收到低質量漏洞提交而面臨的現有問題。

Ollmann表示，安全研究人員轉向AI，正制造出“大量噪音、誤報和重復報告”。

“安全測試的未來不在于管理一群發現重復和低質量漏洞的漏洞獵人，而在于按需獲取最佳專家，以發現和修復可利用的漏洞——作為持續、程序化、進攻性安全計劃的一部分。”Ollmann說道。

英國投資研究平臺TrustNet的首席信息安全官Trevor Horwitz補充道：“最佳結果仍然來自知道如何指導工具的人。AI帶來了速度和規模，但將輸出轉化為影響的是人類的判斷力。”

云安全供應商Wiz的威脅暴露主管、漏洞賞金獵人Gal Nagli告訴記者，至少對于技術更嫻熟的從業者來說，AI工具尚未在漏洞賞金搜尋中產生巨大影響。

例如，那些大規模自動化基礎設施漏洞(如默認憑據或子域名接管)的研究人員，已經擁有了可靠的工具和檢測方法。“在這些情況下不需要AI。”Nagli說道。

Nagli解釋道：“AI的真正價值在于增強專家級研究人員的能力，特別是在測試已認證門戶或分析龐大的代碼庫和JavaScript文件時。它有助于發現以前過于復雜或微妙而無法在沒有AI輔助的情況下檢測到的漏洞。”

最新一代模型可以為技術嫻熟的漏洞賞金獵人提供真正的幫助，不是通過取代他們，而是通過增強他們的發現能力。

Nagli補充道：“完全自主的智能體仍然面臨困難，特別是在身份驗證和人類情境至關重要的場景中。”

企業風險管理

漏洞賞金計劃已發展為企業風險管理策略的延伸，通過在攻擊者利用漏洞之前不斷發現真實威脅。

安全領導者正轉向持續的、數據驅動的暴露管理，將人類智慧與自動化相結合，以實現對資產、供應鏈和API的實時可見性。

HackerOne報告稱，83%的受訪企業現在使用漏洞賞金計劃，且賞金總額同比增長13%，所有計劃的賞金總額達到8100萬美元。

HackerOne表示，隨著跨站腳本(XSS)和SQL注入等常見漏洞類型變得更容易緩解，企業正將重點和獎勵轉向揭示更深層次系統性風險的發現結果，包括身份、訪問和業務邏輯漏洞。

HackerOne最新的年度基準報告顯示，不當訪問控制和不安全的直接對象引用(IDOR)漏洞同比增長了18%至29%，凸顯了攻擊者和防御者現在集中精力的領域。

HackerOne的Hazen總結道：“2025年，組織面臨的挑戰將是平衡速度、透明度和信任：衡量眾包的進攻性測試，同時保持負責任的披露、公平的賞金支付和AI輔助的漏洞報告驗證。”