AI浪潮下漏洞赏金项目暂停接收提交负责识别和报告开源软件漏洞的研究人员如今面临着奖励取消的情况。管理互联网漏洞赏金项目的 HackerOne 宣布在思考如何更有效地处理开源安全问题期间将“暂停接收提交”。这一举措源于人工智能在漏洞发现领域的广泛应用使得发现漏洞变得更加容易原有的漏洞发现与修复的平衡被打破。AI改变漏洞发现与修复的平衡自 2012 年启动以来由多家领先软件公司资助的互联网漏洞赏金项目已向报告漏洞的研究人员发放了超过 150 万美元的奖励。其中 80% 的奖励用于发现新漏洞20% 用于支持修复工作。然而HackerOne 指出AI 辅助研究扩大了漏洞发现范围提高了覆盖范围和速度导致开源领域中发现漏洞和修复能力之间的平衡发生了实质性转变。这意味着随着 AI 让发现漏洞变得更加轻松原有的奖励模式需要进行调整。Node.js等项目受影响首批受影响的项目之一是 Node.js 项目这是一个用于 Web 应用程序的服务器端 JavaScript 平台以其广泛的生态系统而闻名。根据其网站公告项目团队虽会继续通过 HackerOne 接收和分类漏洞报告但由于没有互联网漏洞赏金项目的资金支持将不再支付奖励。这无疑会对研究人员的积极性产生一定影响。行业内多个项目受AI冲击互联网漏洞赏金项目并非唯一一个在漏洞挖掘中因 AI 出现而陷入困境的漏洞狩猎项目。今年 1 月Curl 项目表示不再接受任何提交。上个月谷歌也停止接受提交至其开源软件漏洞奖励计划的 AI 生成内容。这表明在 AI 技术的冲击下整个漏洞挖掘行业都在面临着挑战和变革。编辑观点AI技术的发展给漏洞挖掘行业带来了巨大冲击HackerOne等项目的调整是应对这一变化的必然举措。未来如何在AI时代找到新的漏洞发现与修复的平衡以及如何激励研究人员继续为开源软件安全贡献力量将是行业面临的重要挑战。