十年前,奖励研究人员提交软件漏洞的计划才刚刚开始普及。漏洞披露和“漏洞赏金”计划代表了一场多年来酝酿的范式转变——机构从对安全研究成果的敌视和防御,转向承认接受反馈和发布修复是必要的。苹果公司在2016年首次宣布漏洞赏金,最高奖励为20万美元,2019年提升至100万美元,去年更是达到200万美元。但这一切即将再次改变。

随着具备自主识别软件漏洞和开发利用工具能力的智能AI模型日益成熟——换句话说,能够发现弱点并制造黑客工具——漏洞披露计划正面临大量涌入的漏洞报告,而组织自身发现的漏洞数量也创历史新高。这种丰富的漏洞供应正在改变漏洞赏金的经济模式,无论是对征集漏洞的机构,还是依靠漏洞狩猎谋生或补贴收入的研究人员而言,影响深远。更重要的是,攻击者的手段也在同步演变。

独立安全研究员Joseph Thacker表示:“我提交的漏洞数量大约是去年同期的三倍,我猜像谷歌这样的公司今年在漏洞奖励上的支出将是去年的两到十倍。”他自己也开发了利用AI进行漏洞狩猎的方法和工具。Thacker补充道:“科技巨头能够承受这种压力,但大多数公司无法。目前人们提交的多是低难度和中等难度的漏洞——AI代理正在发现非常好的漏洞。但明年提交的漏洞可能会减少,因为很多漏洞已经被发现,我认为一些公司会再次提高奖励金额。”

Thacker和其他研究人员坦言,没人能准确预测漏洞供需关系的长期走向。根据AI在发现漏洞和自动扫描系统方面的效率,开发者可能面临更大压力,必须更快发布补丁,这可能会加速诸如90天披露期限等长期以来艰难建立的标准。正如安全研究员Himanshu Anand本月早些时候所说:“90天的负责任披露窗口是为漏洞发现者稀少、漏洞利用开发缓慢的时代设计的。那个时代已经过去了。大型语言模型压缩了这两个时间线。”

更重要的是,攻击者的强制问责可能促使组织加快漏洞修复的部署速度。补丁管理一直是安全领域的关键且复杂的挑战,因为未经充分测试的大规模软件安装可能带来意外后果,甚至导致系统宕机等最坏情况。

现实中由AI推动的攻击紧迫感正在增强,无论是技术成熟的攻击者还是技术较弱的攻击者,都在寻求提升能力和降低成本。例如,本月早些时候谷歌研究人员发布的报告显示,他们观察到“知名网络犯罪威胁行为者”利用AI工具开发出零日漏洞,试图绕过一个开源系统管理平台的双因素认证。谷歌迅速通知开发者,漏洞得以修复。研究人员称,这一事件是漏洞狩猎格局变化的关键体现。

谷歌威胁情报组首席分析师John Hultquist表示:“我们一直认为这种情况已经存在,这次是我们首次获得确凿证据,证明攻击者正在利用AI发现新漏洞并开发利用工具。”他补充道:“国家级威胁非常严重且真实,但大多数组织面临的事件仍由犯罪分子造成,且其中许多事件相当严重。犯罪分子使用零日漏洞的情况相对有限,但使用时往往非常成功,因此我们不应低估更多犯罪分子掌握零日漏洞的影响。”

然而,对于依靠漏洞狩猎赚钱的研究人员来说,形势正在变化。命令行工具Curl于今年1月终止了通过第三方服务HackerOne运行的漏洞赏金计划,原因是收到大量由AI生成的低质量漏洞报告。

Curl团队当时表示:“我们痛苦地得出结论,漏洞赏金激励过强,导致有人恶意制造‘问题’,造成系统过载和滥用。”但他们同时强调,“我们仍然重视和感谢有效的漏洞报告。”

上周,Linux创始人兼首席开发者Linus Torvalds表示,著名的Linux安全邮件列表因大量重复的AI漏洞报告,已变得“几乎无法管理”。

不过,今年4月,Curl创始人兼首席开发者Daniel Stenberg在LinkedIn上表示,提交的漏洞质量已有所提升。“过去几个月,我们不再收到AI生成的垃圾安全报告,反而收到越来越多高质量的安全报告,几乎全部借助AI完成,提交频率前所未有,给我们带来了巨大压力。”

4月底,谷歌宣布对Chrome和Android的漏洞奖励计划进行调整,部分漏洞的奖励降低,部分则提高。谷歌表示:“随着安全研究环境因AI而演变,我们调整计划,确保奖励最具挑战性和影响力的漏洞。”

心脏病医生兼漏洞赏金猎人Jonathan Dunn认为:“拥有特殊技能的顶尖漏洞猎人依然能从大公司获得奖励。但即使有AI,我们也需要大力激励道德研究人员关注公共基础设施和其他关键系统,这些系统可能得不到足够的防御关注。”

目前,大多数组织似乎准备采取各种措施应对漏洞发现加速带来的挑战和机遇。云安全公司Edera首席技术官Alex Zenla表示:“这正在改变漏洞狩猎行业的动态,但绝对仍需要人力投入。”

本月早些时候,Anthropic启动了针对其自身系统和Claude AI模型的HackerOne漏洞赏金计划。越来越多研究人员认为,必须建立结构性防御措施来应对加速的漏洞发现。换言之,他们正在设计针对不同类别漏洞的数字解决方案,消除漏洞或显著降低其可利用性。

资深安全工程师兼研究员Niels Provos指出:“你无法仅靠补丁解决这个问题。你需要构建基础设施,使尽可能多的漏洞变得无关紧要。”