主要内容
十年前,漏洞赏金计划刚起步,如今AI正颠覆这一领域。随着AI模型能自主发现软件漏洞并开发利用工具,漏洞披露和赏金计划的供需关系正发生剧变——提交漏洞量激增,企业支出压力陡增,攻击者也在同步进化。
独立安全研究员Joseph Thacker表示,其提交的漏洞量较去年同期增加三倍,谷歌等科技巨头的漏洞支付成本或增长2-10倍。“当前AI发现的多为‘低垂果实’,但明年优质漏洞或已被大量发现,提交量可能减少,部分企业或将再次提高赏金。”他补充,多数公司难以承受这种压力,而科技巨头尚能应对。
长期来看,供需动态尚不明确。AI的自动化扫描和漏洞利用能力可能迫使开发者加速补丁发布,甚至打破90天披露期限(原用于平衡漏洞发现与修复的窗口期)。安全研究员Himanshu Anand指出,大语言模型压缩了漏洞发现与披露的时间线,“90天窗口已不适用当前AI驱动的攻防节奏”。
谷歌本月发布的研究显示,AI已被用于开发零日漏洞攻击。某犯罪组织利用AI绕过开源系统双因素认证,谷歌及时通知并推动修复。这表明,攻击者正通过AI快速获取新型漏洞,威胁攻防平衡。安全专家警告,无论国家支持的攻击还是犯罪组织,AI都在提升其能力,推动漏洞修复与披露的标准加速演变。
