AI驱动漏洞搜索:重塑金融安全的5个新趋势
根据HackerOne等平台发布的报告显示,人工智能相关漏洞提交量同比激增210%,漏洞赏金总额攀升339%,推动行业进入“模拟黑客”新阶段。然而,效率提升的另一面是误报与噪声的泛滥——大量由AI生成的低质量漏洞报告令项目维护团队不堪重负,甚至引发"拒绝服务式"的工作压力。
免费影视、动漫、音乐、游戏、小说资源长期稳定更新! 👉 点此立即查看 👈
安全研究人员正借助大语言模型实现侦察自动化与API逆向工程,并以前所未有的速度扫描代码库。通过将AI工具应用于模糊测试、漏洞利用自动化到跨代码库模式识别等各类技术,研究人员正以更高效率发现系统弱点。
HackerOne高级漏洞赏金项目经理Crystal Hazen指出:“过去一年我们已进入所谓的‘模拟黑客’时代,人类研究员利用自主AI系统收集数据、进行分类并推进发现进程。”该平台现已集成AI工具,旨在简化漏洞提交与分类流程。
HackerOne研究发现,与2024年同期相比,今年有效AI漏洞报告数量增长210%。与此同时,为应对AI应用中的安全隐患,各漏洞赏金计划针对AI漏洞支付的总赏金也猛增339%,其中提示注入、模型操纵和不安全的插件设计构成了主要发现。
AI信息噪音加重防御方负担
行业专家建议,人工智能应仅作为“研究助手”或指引工具,而非漏洞发现的主要机制。
漏洞赏金平台Intigriti的首席黑客官Inti De Ceukelaire表示,AI为黑客创造了更公平的竞争环境,因为它能帮助技能较弱的研究员识别易受攻击的系统或分析代码中的缺陷。但基于AI的分析结果并不总是可靠,这带来了实际运营问题。
De Ceukelaire向记者透露:“我们看到AI成为了那些自信能有所发现者的扩音器,诱使他们陷入确认偏误的恶性循环。”
处理外部漏洞报告的安全团队,需要对那些明显依赖AI生成的报告保持警惕态度。
De Ceukelaire进一步说明:“提供分类服务的漏洞赏金平台可以提供帮助,因为它们能够衡量研究人员随时间推移的记录,并利用专业技术在报告到达公司之前检测和识别AI噪音。
其他安全专家也认同,截至目前,将AI工具应用于漏洞搜寻的结果好坏参半,同时他们认为通过精细分类可以缓解这些问题。
网络安全与合规咨询公司ProCircular的进攻性网络行动主管Bobby Kuzma表示:“正确应用和验证的AI工具确实能提供高影响力的发现,但我们也看到大量报告让相关项目不堪重负,其中大部分内容,委婉地说,都属于无效信息。
处理大量由AI工具生成的质量参差不齐的报告,给资源有限的项目带来额外压力,包括那些与关键开源软件项目相关的维护团队。
以curl项目——这个常用于文件下载的命令行工具为例,已公开呼吁停止提交AI检测到的漏洞。项目维护人员抱怨称,他们花费了太多时间处理使用AI工具生成的低质量漏洞报告。
项目负责人Daniel Stenberg将大量未经证实的虚假报告比作拒绝服务攻击。近期,在收到部分由AI工具生成的真实漏洞报告后,Stenberg的态度有所缓和。
误报如潮水般涌来
Cobalt.io首席技术官Gunter Ollmann警告称,AI正在加剧供应商因频繁收到低质量漏洞提交而面临的现有问题。
Ollmann表示,安全研究人员转向AI,正在制造“大量噪音、误报和重复报告”。
“安全测试的未来不在于管理一群发现重复和低质量漏洞的猎手,而在于按需获取最佳专家,作为持续化、程序化进攻性安全计划的一部分。
英国投资研究平台TrustNet的首席信息安全官Trevor Horwitz补充道:“最佳成果仍然来自知道如何指导工具的人类。AI带来了速度和规模,但将输出转化为影响力的仍然是人类的判断力。”
云安全供应商Wiz的威胁暴露主管、漏洞赏金猎人Gal Nagli告诉记者,至少对于技术更成熟的从业者来说,AI工具尚未在漏洞赏金搜寻中产生巨大影响。
例如,那些专注于大规模自动化基础设施漏洞(如默认凭据或子域名接管)的研究人员,已经拥有了可靠的工具和检测方法。“在这些情况下并不需要AI。”Nagli说道。
Nagli解释说:“AI的真正价值在于增强专家级研究人员的能力,特别是在测试已认证门户或分析庞大的代码库和JavaScript文件时。它有助于发现那些过于复杂或微妙,而在没有AI辅助的情况下无法检测到的漏洞。”
最新一代模型可以为技术成熟的漏洞赏金猎人提供真正的帮助,不是通过取代他们,而是通过增强他们的发现能力。
Nagli补充说:“完全自主的智能体仍然面临困难,特别是在身份验证和人类情境至关重要的场景中。”
企业风险管理
漏洞赏金计划已发展为延伸企业风险管理策略的重要手段,通过在攻击者利用漏洞之前持续发现真实威胁。
安全领导者正转向持续化的、数据驱动的暴露管理,将人类智慧与自动化相结合,以实现对资产、供应链和API的实时可见性。
HackerOne报告称,83%的受访企业正在使用漏洞赏金计划,且赏金总额同比增长13%,所有计划的赏金总额达到8100万美元。
HackerOne表示,随着跨站脚本(XSS)和SQL注入等常见漏洞类型变得更容易缓解,企业正将重点和奖励转向那些揭示更深层次系统性风险的发现,包括身份验证、访问控制和业务逻辑中的缺陷。
HackerOne最新的年度基准报告显示,不当访问控制和不安全的直接对象引用漏洞同比增长18%至29%,凸显出攻击者和防御方当前关注的焦点领域。
HackerOne的Hazen总结道:“2025年,组织面临的挑战将是在速度、透明度和信任之间取得平衡:既要确保负责任的披露与公平的赏金支付,还要借助AI辅助技术完善漏洞报告的验证流程。
相关攻略
1 故障现象:OpenClaw无法联网搜索的典型报错 许多开发者在配置OpenClaw AI助手的搜索功能时,常常会遭遇一个典型故障:日常对话交互完全正常,但一旦触发需要联网查询信息的指令,界面便会立刻弹出“抱歉,我目前无法使用网络搜索功能(需要配置 API 密钥)”或“HTTP 401: Inv
1 4 万亿词元!阿里 Qwen3 6-Plus 刷新全球最大 AI 聚合平台 OpenRouter 日调用量纪录 这事儿挺震撼的。就在4月4日,全球最大的AI模型聚合平台OpenRouter在其官方账号上公布了一个爆炸性数字:阿里刚刚发布的千问新模型Qwen3 6-Plus,上线仅仅一天,日调用量
Solidus AI 是什么 在AI与Web3加速融合的当下,一个名为Solidus AI的项目提出了自己的解决方案。它将自己定位为“Web3原生的AI HPC基础设施”,其蓝图相当清晰:以位于欧洲的环保高性能计算(HPC)数据中心为基石,向上构建一个计算与AI工具市场,并最终通过AITECH代币完
Cardano (ADA) 2026年价格预测:AI深度解析与增长路径 在瞬息万变的加密市场,人工智能分析正成为洞察未来趋势的关键工具。近期,由Grok AI模型发布的Cardano(ADA)2026年价格预测引发了广泛关注,其大胆展望ADA或有望触及两位数美元价格。这不仅彰显了AI数据分析的潜力,
京东“全民养虾计划”:开启AI助手体验新纪元 科技领域近期迎来一场别开生面的创新活动:京东正式推出“全民养虾计划”。表面看,它与美食相关,实际上是一场针对AI智能体技术普及的宏大实验。该计划通过“购买AI硬件、赠送专业安装服务与趣味小龙虾”的组合策略,为当前热门的开源AI智能体——OpenClaw,
热门专题
热门推荐
英特尔确认存档 Unity 引擎版 XeSS 插件,虚幻引擎插件仍持续更新 对于游戏开发者和硬件发烧友而言,英特尔的一项最新决策值得关注:官方已正式将Unity游戏引擎专用的XeSS超采样技术 GitHub 项目进行存档。这一举措直接影响了使用Unity引擎进行游戏开发的团队未来集成该项画质增强技术
TCL在AWE现场打造了一座“TCL PASSION LAND”品牌活力乐园,开启了“屏宇宙+AI科技”新次元。非常吸引人的便是TCL的“屏宇宙”了。 【上海现场直击】2026年AWE大幕拉开,这场主题为“AI科技、慧享未来”的家电与消费电子盛宴,于3月12日至15日,首次以“一展双区”的新模式在上
英特尔酷睿 Ultra 7 251HX 处理器发布:6个性能核、12个能效核与3个Xe核架构解析 英特尔官网产品列表近期迎来更新,备受瞩目的酷睿 Ultra 7 251HX 处理器规格信息正式公布。引人注目的是,其产品发布时间明确标注为“2026年第一季度”,这为行业观察者和消费者揭示了英特尔未来几
通过将无人驾驶领域的核心感知技术引入庭院场景,MOVA构建了以AI视觉为核心的多传感器融合系统,使割草机器人具备接近无人驾驶级的环境理解与自主决策能力。 智能割草机器人的赛道,正沿着一条清晰的轨迹进化:从自动化执行,迈向真正的无人化自主决策。驱动这场变革的核心技术,无疑是AI感知。在这一关键节点,M
AWE2026五大精选Best in Show:AI赋能,让好产品自己“会说话” AWE2026在上海圆满闭幕,本届展会以“AI科技 慧享未来”为核心主题,汇聚超过1200家全球领先企业同台竞技。首次采用的“一展双区”新模式,更将展会规模与人气推向新高。在为期四天的盛会上,我们得以全景式窥见未来几年