# 漏洞赏金
预测市场平台Polymarket否认遭遇数据泄露,称黑客在暗网发布的所谓30万条用户数据实为公开可获取信息。黑客“xorcat”声称通过未文档化API、分页绕过及CORS配置错误获取数据,但Polymarket回应称其数据通过公开API和链上数据可免费获取,强调这是区块链透明性的特征。该公司同时指出其自4月16日起已运行漏洞赏金计划,已收到446份报告。网络安全公司Hacken此前报告,2026年第一季度Web3项目因黑客攻击损失4.82亿美元。安全专家对黑客声称的“数据泄露”表示怀疑,认为其可能是数据抓取后伪装成泄露事件。
全球软件安全领域正面临由AI驱动的零日漏洞发现激增危机。据Zero Day Initiative数据显示,本月漏洞提交量较去年同期激增490%,部分漏洞赏金计划如Internet Bug Bounty Program已暂停接收报告。Anthropic推出的Claude Mythos模型被指能自主发现并利用主流操作系统中的零日漏洞,其发现的漏洞中不足1%已获修复。开源项目cURL负责人Daniel Stenberg表示,2025年收到的漏洞报告量超过前两年总和,2026年预计将翻倍。微软4月安全更新修复165个漏洞,为历史上第二高。专家警告,若行业不能快速应对,用户将面临更大安全风险。
互联网漏洞赏金计划(Internet Bug Bounty)于近日宣布暂停接收新漏洞提交。该计划自2012年启动,由多家领先软件公司资助,累计已向研究人员发放超150万美元奖励。其中80%用于奖励新漏洞发现,20%用于支持修复工作。随着人工智能辅助研究加速漏洞发现,HackerOne表示,漏洞发现与修复能力之间的平衡已发生实质性变化,因此暂停提交以重新评估激励机制。受影响项目包括Node.js,其将不再支付奖励,但仍接受漏洞报告。谷歌上月也已停止接受AI生成的漏洞提交。该计划强调,将与项目维护者和研究人员共同探索新方案,确保漏洞发现能转化为持久的修复成果。
大疆公司宣布将向安全研究人员Sammy Azdoufal支付3万美元,以奖励其发现Romo扫地机器人网络中的安全漏洞。该漏洞允许未经授权访问7000台设备的视频流,甚至可能窥视用户家庭内部。大疆称已解决其中一项无需安全码即可查看视频流的漏洞,并正在推进系统整体升级,预计一个月内完成。尽管大疆在官方博客中声称已全面修复问题,但其承认仍需一个月时间完成所有更新。公司同时表示将加强与安全研究社区的合作,并引入新的协作机制。