文章总结： 文档探讨AI在安全领域的快速落地现象，指出HackerOne和Node.js等平台因AI生成报告激增而调整赏金政策。作者通过实验展示LLM能快速逆向协议并生成漏洞利用代码，预测开源项目将面临AI驱动的漏洞报告洪流。核心结论是AI大幅降低安全研究门槛，但需警惕虚假报告泛滥问题。 综合评分： 76 文章分类： 漏洞分析,AI安全,逆向分析,安全工具,威胁情报

搞安全还要手艺人吗

营销号 营销号

非尝咸鱼贩

2026年4月3日 08:10 瑞士

昨天的推送行文仓促而且用了 LLM 辅助被读者抓包吐槽。今天想了一下，有一部分章节的结论确实写得不够严谨，就先下掉了。以后手写补充内容再重发。

几个月前 curl 开发者还在吐槽有了 GPT 之后收到了很多幻觉满天飞的烂报告浪费时间，最后一怒把 Bug Bounty 停掉了。

然而 AI 的落地速度实在是超乎想象。

最近又有若干家 Bug Bounty 宣布不给钱了。首先是 3 月 27 号 HackerOne 平台宣布 Internet Bug Bounty（IBB）暂停接收新报告。Node.js 今天（4 月 2 日）发表公告，因为资金问题暂停发奖金，而安全问题报告还会继续接收。

Node.js 赏金计划的来源正是 HackerOne 的 IBB，所以算是一个连锁反应。

最近几期 Chromium 的公告也是被刷榜得厉害。一切看上去似乎都指向 AI 确实落地了这一个解释。

一家名为 Calif 的安全公司前几天也发了两篇漏洞报告，一篇是用 llm 找到 vim 和 emacs 打开文件即触发的代码执行，另一篇是 FreeBSD 的远程栈溢出漏洞。在已知漏洞细节的情况下，实验要求 claude 动手搭建复现环境，并着手开发利用代码。

FreeBSD 这个例子可能还有一些说法。漏洞比较简单，经典的栈溢出。目标环境缺少基本的安全措施，先不说地址随机化，哪怕是开一下 stack canary 也不至于能让这个漏洞可以被利用。就门槛还是比较一般的程度。

不过笔者前阵子倒是动手做了一些实验。

我很讨厌那些在电脑上开端口的桌面软件，只要看到就会手欠去分析一下有没有洞。去年我在 Objective by the Sea v8 讲了一个 Apple Compressor 的零点击蠕虫漏洞（CVE-2025-43515）挖掘过程与利用就是这么搞出来的，顺便提了一句这种相对偏专业场景的软件的安全问题不会是孤例。

我在另一个闭源软件上看到一些疑似类似远程代码执行的点，但是触发点的协议是二进制的格式，逆向和复现都需要投入一定的时间和精力。这种没有什么回报的活自然是不乐意去干的。

抱着试试看的心态直接 IDA 开 mcp 丢给 agent，只提示了一下 AI 帮我分析一下网络协议和认证的实现，可能可以绕过——为了防止被 llm 拒绝，我都没有管这个叫漏洞。

谁知道这玩意儿直接心领神会，顺着我的思路把协议很快逆向出来了，还直接告诉我不仅怀疑的漏洞存在，还指出一处 memcpy 堆溢出和其他一些比较小的问题。

我的 prompt 没有保存，一共写了三条提示，中间一条因为助手跑偏方向被我掐掉了。总共加起来半个多小时，直接给我搞出来一个可用的远程代码执行 exploit。我只叫你看看协议怎么实现，没叫你把 exp 也给写了。

《被吓到眩晕瘫坐，那一刻就像看到原子弹爆炸》

在这渲染做安全失业论除了标题党没什么实质意义。假如真会被抢饭碗，在这哭也阻挡不了现实；假如暂时还丢不了，那就没必要跳脚……

反正接下来能预见到的是，一波用爱发电的开源软件作者要疯，至少遇到三拨 DDoS：用龙虾写一大堆代码要合并的，用 ai 瞎编幻觉漏洞要钱的，用 ai 真找到一堆漏洞修不过来的。

有了 llm，以前引以为豪的逆向手艺突然就降低门槛了。反编译准确度可能还有争议，但手工的覆盖率和速度怎么敢和 AI 比。一些软件没人搞并不是因为足够安全，而是个成本问题，没回报没动力。这下时间成本突然降低了很多，等着看接下来满世界弹计算器吧。

附：前文提到做实验半小时被打穿的软件可不是一般的 app，能报菜名说出来这几年奥斯卡得主的片都用它做后期……

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：非尝咸鱼贩 营销号 营销号《搞安全还要手艺人吗》