AI驱动漏洞搜索:重塑金融安全的5个新趋势
根据HackerOne等平台发布的报告显示,人工智能相关漏洞提交量同比激增210%,漏洞赏金总额攀升339%,推动行业进入“模拟黑客”新阶段。然而,效率提升的另一面是误报与噪声的泛滥——大量由AI生成的低质量漏洞报告令项目维护团队不堪重负,甚至引发"拒绝服务式"的工作压力。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
安全研究人员正借助大语言模型实现侦察自动化与API逆向工程,并以前所未有的速度扫描代码库。通过将AI工具应用于模糊测试、漏洞利用自动化到跨代码库模式识别等各类技术,研究人员正以更高效率发现系统弱点。
HackerOne高级漏洞赏金项目经理Crystal Hazen指出:“过去一年我们已进入所谓的‘模拟黑客’时代,人类研究员利用自主AI系统收集数据、进行分类并推进发现进程。”该平台现已集成AI工具,旨在简化漏洞提交与分类流程。
HackerOne研究发现,与2024年同期相比,今年有效AI漏洞报告数量增长210%。与此同时,为应对AI应用中的安全隐患,各漏洞赏金计划针对AI漏洞支付的总赏金也猛增339%,其中提示注入、模型操纵和不安全的插件设计构成了主要发现。
AI信息噪音加重防御方负担
行业专家建议,人工智能应仅作为“研究助手”或指引工具,而非漏洞发现的主要机制。
漏洞赏金平台Intigriti的首席黑客官Inti De Ceukelaire表示,AI为黑客创造了更公平的竞争环境,因为它能帮助技能较弱的研究员识别易受攻击的系统或分析代码中的缺陷。但基于AI的分析结果并不总是可靠,这带来了实际运营问题。
De Ceukelaire向记者透露:“我们看到AI成为了那些自信能有所发现者的扩音器,诱使他们陷入确认偏误的恶性循环。”
处理外部漏洞报告的安全团队,需要对那些明显依赖AI生成的报告保持警惕态度。
De Ceukelaire进一步说明:“提供分类服务的漏洞赏金平台可以提供帮助,因为它们能够衡量研究人员随时间推移的记录,并利用专业技术在报告到达公司之前检测和识别AI噪音。
其他安全专家也认同,截至目前,将AI工具应用于漏洞搜寻的结果好坏参半,同时他们认为通过精细分类可以缓解这些问题。
网络安全与合规咨询公司ProCircular的进攻性网络行动主管Bobby Kuzma表示:“正确应用和验证的AI工具确实能提供高影响力的发现,但我们也看到大量报告让相关项目不堪重负,其中大部分内容,委婉地说,都属于无效信息。
处理大量由AI工具生成的质量参差不齐的报告,给资源有限的项目带来额外压力,包括那些与关键开源软件项目相关的维护团队。
以curl项目——这个常用于文件下载的命令行工具为例,已公开呼吁停止提交AI检测到的漏洞。项目维护人员抱怨称,他们花费了太多时间处理使用AI工具生成的低质量漏洞报告。
项目负责人Daniel Stenberg将大量未经证实的虚假报告比作拒绝服务攻击。近期,在收到部分由AI工具生成的真实漏洞报告后,Stenberg的态度有所缓和。
误报如潮水般涌来
Cobalt.io首席技术官Gunter Ollmann警告称,AI正在加剧供应商因频繁收到低质量漏洞提交而面临的现有问题。
Ollmann表示,安全研究人员转向AI,正在制造“大量噪音、误报和重复报告”。
“安全测试的未来不在于管理一群发现重复和低质量漏洞的猎手,而在于按需获取最佳专家,作为持续化、程序化进攻性安全计划的一部分。
英国投资研究平台TrustNet的首席信息安全官Trevor Horwitz补充道:“最佳成果仍然来自知道如何指导工具的人类。AI带来了速度和规模,但将输出转化为影响力的仍然是人类的判断力。”
云安全供应商Wiz的威胁暴露主管、漏洞赏金猎人Gal Nagli告诉记者,至少对于技术更成熟的从业者来说,AI工具尚未在漏洞赏金搜寻中产生巨大影响。
例如,那些专注于大规模自动化基础设施漏洞(如默认凭据或子域名接管)的研究人员,已经拥有了可靠的工具和检测方法。“在这些情况下并不需要AI。”Nagli说道。
Nagli解释说:“AI的真正价值在于增强专家级研究人员的能力,特别是在测试已认证门户或分析庞大的代码库和JavaScript文件时。它有助于发现那些过于复杂或微妙,而在没有AI辅助的情况下无法检测到的漏洞。”
最新一代模型可以为技术成熟的漏洞赏金猎人提供真正的帮助,不是通过取代他们,而是通过增强他们的发现能力。
Nagli补充说:“完全自主的智能体仍然面临困难,特别是在身份验证和人类情境至关重要的场景中。”
企业风险管理
漏洞赏金计划已发展为延伸企业风险管理策略的重要手段,通过在攻击者利用漏洞之前持续发现真实威胁。
安全领导者正转向持续化的、数据驱动的暴露管理,将人类智慧与自动化相结合,以实现对资产、供应链和API的实时可见性。
HackerOne报告称,83%的受访企业正在使用漏洞赏金计划,且赏金总额同比增长13%,所有计划的赏金总额达到8100万美元。
HackerOne表示,随着跨站脚本(XSS)和SQL注入等常见漏洞类型变得更容易缓解,企业正将重点和奖励转向那些揭示更深层次系统性风险的发现,包括身份验证、访问控制和业务逻辑中的缺陷。
HackerOne最新的年度基准报告显示,不当访问控制和不安全的直接对象引用漏洞同比增长18%至29%,凸显出攻击者和防御方当前关注的焦点领域。
HackerOne的Hazen总结道:“2025年,组织面临的挑战将是在速度、透明度和信任之间取得平衡:既要确保负责任的披露与公平的赏金支付,还要借助AI辅助技术完善漏洞报告的验证流程。
相关攻略
科技巨头AI人才争夺战升温,微软苏黎世办公室再添猛将 最近科技圈又有新动向。据科技媒体Windows Central在2月5日披露,微软在人工智能领域的“军备竞赛”正持续加码,其招揽顶级人才的步伐明显加快,与OpenAI、Salesforce、谷歌等巨头的竞争已进入白热化阶段。 这场竞争的一个关键落
钉钉AI助理全面接入DeepSeek:三种模型可选,支持深度思考与一键创建 消息来了:钉钉AI助理现在正式全面接入了DeepSeek系列模型。这意味着什么?简单说,用户手里多了几个厉害的“武器库”,可以根据不同需求,自主选择DeepSeek系列的R1(提供671B满血版及qwen32b蒸馏版两个选项
AI语音诈骗新高度:意大利商界精英竟成“国防部长”目标 最近金融科技圈出了件挺有“创意”的案子,据彭博社报道,意大利发生了一起诈骗案,手段有点特别——骗子直接用上了人工智能语音工具。更离谱的是,他们模仿的对象,是意大利国防部长克罗塞托(Guido Crosetto)及其团队成员。这伙人的目标相当明确
OpenAI、谷歌、Roblox等科技巨头联手,成立新组织保障AI时代儿童安全 2月11日,一则来自Engadget的报道引起了广泛关注:Roblox、Discord、OpenAI和谷歌这几家科技领域的重量级玩家,联手成立了一个名为ROOST(强大开放在线安全工具)的非营利组织。这个组织的核心目标很
AI智能体有哪些常见问题?从实验室到现实,挑战远比想象的多 初次接触AI智能体,人们最常问的莫过于:它到底有什么问题?从炫酷的技术演示到真实业务场景,AI智能体的表现有时像一位天赋异禀却经验不足的实习生——既能带来惊喜,也会制造一些令人哭笑不得的麻烦。今天,我们就来一次彻底的“体检”,抛开滤镜,看看
热门专题
热门推荐
全新一代雷克萨斯ES北京车展上市:混动首发29 99万,纯电版本后续推出 2026年北京车展,全新一代雷克萨斯ES正式揭开了面纱并公布售价。首发上市的混合动力版本,官方指导价定在了29 99万元。这只是一个开始,后续纯电动版本也将陆续登场。有意思的是,现款的ES200车型并不会就此退市,而是与新车型
还记得05后小花黄杨钿甜天价耳环风波吗? 时隔近一年,当事人黄杨钿甜终于首次接受采访,正式回应了那场沸沸扬扬的“天价耳环”风波。她本人也在第一时间转发了道歉声明。然而,从网友的普遍反应来看,这份迟来的回应与道歉,似乎并没有起到预想中的效果。 目前,黄杨钿甜的社交媒体评论区已然“沦陷”。前排的热门评论
《黑袍纠察队》第五季幕后:一场让“士兵男孩”都喊难的戏 《黑袍纠察队》第五季正播得火热,各种名场面轮番轰炸观众的眼球。不过,你可能想不到,剧中有些场景拍起来,对演员来说简直是种“折磨”。最近,“士兵男孩”的扮演者詹森·阿克斯就在采访里大倒苦水,透露了本季最难熬的戏份之一——正是他和“鞭炮女”Fire
布林带实战指南:在欧易平台捕捉波段机会的六个关键步骤 先明确一个核心逻辑:布林带的收口,往往预示着市场波动率下降、趋势启动在即;而它的开口,则明确告诉我们波动正在加剧,趋势可能延续。但光知道这个可不够,关键在于如何结合欧易平台的K线图、时间周期、三轨间距、价格突破以及中轨方向进行综合判断。下面,我们
在悬疑剧《方圆八百米》中,陈辉一开始卖药犯罪,只是单纯迫于现实的无奈,但从他用命嫁祸霍开明的那一刻起,他便已经彻底堕落,甚至还多了几分享受的感觉。 最初的陈辉,形象是弱小且无助的,内心充满痛苦与徘徊。他每一次铤而走险,动机都相当明确——为了保护高松格。 然而,事情从这里开始悄然变质。你猜怎么着?后来