文章总结： HackerOne因AI辅助漏洞发现技术导致漏洞报告激增，暂停开源漏洞奖励计划。AI工具大幅提升漏洞发现速度但有效报告率从15%降至5%，开源维护者面临审核疲劳。专家指出需重新平衡漏洞发现与修复环节，建议建立修复资金池并奖励提供修复方案的研究人员。 综合评分： 78 文章分类： 漏洞分析,AI安全,安全运营,解决方案,威胁情报

AI漏洞发现量激增，HackerOne 宣布暂停开源漏洞奖励计划

Jai Vijayan Jai Vijayan

代码卫士

2026年4月10日 14:10 北京

在小说阅读器读本章

去阅读

  聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士

HackerOne近期决定暂停接收向其众包模式的互联网漏洞奖励计划(IBB) 提交新的漏洞。这一举措表明，由于AI 辅助漏洞挖掘与发现技术快速发展，全行业在漏洞修复方面面临日益严峻挑战。

IBB 计划于 2013 年启动，被广泛视为开源社区最重要的漏洞奖励计划之一。自今年3 月27日起，该计划暂停接收新的漏洞提交报告，HackerOne 给出的原因是漏洞发现的速度与开源维护者修复漏洞的能力之间的失衡正日益加剧。

安全漏洞发现中的“信号与噪声”

HackerOne 表示：“漏洞发现的情况正在发生变化。AI 辅助研究正在扩大整个生态系统中漏洞发现的覆盖面，同时提升了发现的速度。开源领域在漏洞发现量与修复能力之间的平衡已经发生了实质性转变。”因此需要重新思考 IBB 这类众包模式项目的结构和激励机制。

紧接着开源 Node.js 项目的维护者也暂停了他们自己的漏洞奖励计划，原因是此前通过 HackerOne 获得的资金已经中断。维护者解释称：“作为一个由志愿者驱动的开源项目，Node.js 没有独立的预算来独自维持一个漏洞奖励计划。”

多位安全专家认为，这些变动虽然影响重大，但考虑到 AI 辅助漏洞发现技术的快速发展，也并非意料之外。SOCRadar 公司的首席信息安全官 Ensar Seker 表示，“这是在AI压力下，漏洞奖励生态系统所做出的一项合理、甚至可以说是早就该做的调整。HackerOne 实际上是在承认瓶颈已经发生了转移：漏洞发现已经被 AI 工业化，但修复能力并没有相应地跟上。”当 AI 能在几小时内生成成千上万个中低质量的发现结果时，开源项目的维护者（通常是资金有限的志愿者）很容易就会被压垮。他提到，“所以没错，HackerOne 说得完全在理：这不是从安全上退缩，而是一次在‘信号与噪声’之间重新寻求平衡的尝试。”

AI 生成的“垃圾内容”涌入猎洞领域

Minimus 公司联合创始人兼首席信息官 John Morello 表示，随着 AI 生成的“垃圾内容”大量涌入，漏洞报告的有效提交率已从大约 15% 下降到了 5% 以下。“AI 辅助的漏洞挖掘不一定能发现更多严重 0day 漏洞；相反，它完全把瓶颈转移到了验证环节，迫使漏洞分类审核团队在海量听起来像那么回事、但实际上无法利用的报告中进行艰难的筛选。”他说。

对于开源项目的维护者来说，“分类审核疲劳”已经成为最大的挑战，他们为了反驳那些凭空捏造的漏洞，就要耗费数小时的开发时间。“不幸的是，当前的漏洞奖励模式在奖励数量而非深度，这实际上等于把无偿劳动武器化，迫使这些小型团队为全球每一台自动化扫描仪充当免费的 QA 部门。”Morello 说。

HackerOne 表示，他们现在的重点是寻找新的途径，以实现让漏洞发现与有效的修复工作相匹配的最初目标，“从而让有意义的发现成果能够为开源项目带来持久的安全改进”。为此，HackerOne 将与项目维护者和研究人员合作，评估各种方法，使激励机制更好地适配开源生态系统的实际情况。

同样运营着众包漏洞发现平台的Bugcrowd的首席战略与信任官 Trey Ford 认为，HackerOne 的决定是一个警钟。“我们得搞清楚，这次暂停真正释放的信号是什么：行业花了多年时间，一直在优化漏洞管道的错误一端。”他说。在压缩漏洞发现所需的时间方面，AI 确实做到了它应该做的事情。“但我们还没有解决的，是方程式中的人这一侧：维护者在收到 40 份有效报告后，只有一个周末的时间来响应。”Ford 说。

漏洞发现有人买单，漏洞修复却无人埋单

现在需做的是以投入漏洞发现的同等紧迫性，加大对漏洞修复能力的投入。“漏洞研究与披露的经济学正在发生变化。AI 降低了漏洞发现的准入门槛，这意味着原始数量不再是研究人员的竞争优势。”Ford 指出。溢价空间将越来越多地向复杂的逻辑缺陷和新颖的攻击链转移，这些需要机器无法复制的人类深度分析与上下文判断能力。“下一代漏洞计划可能会为那些不仅报告漏洞、还能同时提供修复方案的研究人员提供额外奖金，并设立共享资金池，同时资助发现漏洞的研究人员和负责发布补丁的维护团队。”

修复并非唯一的挑战。正如 FusionAuth 公司的产品副总裁 David Hayes 所指出的，围绕人工节奏的漏洞奖励计划正在以远超预期的速度消耗资金。他表示，“当前的运行模式不可持续。”漏洞奖励是为这样一个世界设计的：漏洞发现本身才是瓶颈。现在，漏洞发现正日益走向自动化，瓶颈已经转移到了修复环节，而漏洞奖励并不为修复工作提供资金。他指出，“支撑关键互联网基础设施的那些项目，不能依靠志愿者劳动来大规模处理 AI 生成的报告。行业需要想清楚如何为‘修复’提供资金，而不仅仅是为‘发现’买单。”

开源卫士试用地址：https://oss.qianxin.com/#/login

代码卫士试用地址：https://sast.qianxin.com/#/login

推荐阅读

在线阅读版：《2025中国软件供应链安全分析报告》全文

HackerOne 发布《2023年黑客驱动安全报告》：29人晋级百万富翁

HackerOne 员工窃取漏洞报告，向受影响客户索取钱财

开源平台 Flowise 中的满分 RCE 漏洞已遭在野利用

原文链接

https://www.darkreading.com/application-security/ai-led-remediation-crisis-prompts-hackerone-pause-bug-bounties

题图：Pixabay License

本文由奇安信编译，不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 “赞” 吧~

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：代码卫士 Jai Vijayan Jai Vijayan《AI漏洞发现量激增，HackerOne 宣布暂停开源漏洞奖励计划》