互联网漏洞赏金计划暂停新提交,称AI辅助研究扩大漏洞发现范围
互联网漏洞赏金计划(Internet Bug Bounty)于近日宣布暂停接收新漏洞提交。该计划自2012年启动,由多家领先软件公司资助,累计已向研究人员发放超150万美元奖励。
其中80%用于奖励新漏洞发现,20%用于支持修复工作。随着人工智能辅助研究加速漏洞发现,HackerOne表示,漏洞发现与修复能力之间的平衡已发生实质性变化,因此暂停提交以重新评估激励机制。
受影响项目包括Node.js,其将不再支付奖励,但仍接受漏洞报告。谷歌上月也已停止接受AI生成的漏洞提交。
该计划强调,将与项目维护者和研究人员共同探索新方案,确保漏洞发现能转化为持久的修复成果。
背景与影响
该计划由HackerOne管理,旨在提升开源软件安全性。AI技术的普及使漏洞发现数量激增,但开源项目维护团队的修复能力未能同步提升,导致修复滞后、资源错配。此举反映技术发展对传统安全激励机制的挑战,也凸显开源生态在治理与资源分配上的结构性矛盾。
HackerOne表示,暂停期间将评估新激励结构,以更贴合开源生态现实,确保漏洞发现真正推动修复落地。
编辑点评
该事件揭示AI技术对网络安全生态的深层次影响。随着AI辅助漏洞发现工具普及,漏洞数量呈指数级增长,但开源项目维护团队的修复能力并未同步提升,导致修复滞后、资源错配。这不仅是技术问题,更是治理与激励机制的挑战。过去以发现为导向的赏金模式已难以适应新现实,需转向兼顾发现与修复的双轨机制。此举可能引发全球开源安全政策的调整,推动更多企业与机构重新设计漏洞管理流程。长远看,AI将重塑网络安全产业链,从被动响应转向主动防御,而平衡发现与修复的激励机制将成为开源生态可持续发展的关键。