文章总结： 腾讯安全应急响应中心(TSRC)针对AI辅助漏洞挖掘报告发布提交规范，明确鼓励使用AI工具辅助漏洞挖掘，但要求所有AI生成的报告必须经过人工验证，需包含漏洞危害说明、详细复现步骤、完整POC及关键步骤截图。未经人工验证或未提供有效验证结果的报告将被直接驳回，累计提交3次以上无效报告将收到提醒，5次以上可能被拉黑账号，旨在维护审核效率与社区生态。 综合评分： 85 文章分类： 技术标准,安全建设,SRC活动

TSRC关于AI辅助漏洞挖掘报告的提交规范：每一份漏洞报告，都值得被认真对待

腾讯安全应急响应中心

2026年4月23日 19:51 北京

在小说阅读器读本章

去阅读

腾讯安全应急响应中心

TSRC

各位白帽师傅们：

感谢大家一直以来对腾讯安全建设的贡献。

随着大模型能力日益增强，利用AI工具辅助或自动化挖掘漏洞，已成为安全研究的新趋势。我们欣喜地看到，一些由AI协助发现的高质量漏洞报告，为平台带来了新的价值——但与此同时，我们也面临大量未经人工验证的无效报告，甚至是被AI“幻觉”误导而产生的误报。

为了合理分配有限的审核资源，确保审核团队能聚焦于真实有效的漏洞，同时维护良好的社区生态，现对AI辅助挖掘和生成的漏洞报告提交标准明确如下：

01

T S R C

鼓励AI在安全场景的应用

腾讯安全应急响应中心（TSRC）鼓励白帽子利用AI工具辅助或自动化挖掘漏洞。AI可以成为高效探索的得力助手，帮助发现更多潜在风险。

02

T S R C

AI报告须经人工验证

对于AI辅助或自动化挖掘产出的漏洞报告，提交前请务必进行人工验证。请确保您已完成对报告真实性与危害性的评估与复现，并在报告中提供人工验证结果，包括但不限于：

• 漏洞危害说明

• 详细复现步骤

• 完整的POC

• 关键步骤及结果截图

03

T S R C

无效报告处置

对于直接由AI生成、未经人工复现或未提供有效验证结果截图的报告，平台将直接予以驳回，且不提供驳回原因说明。

04

T S R C

多次提交无效报告的处置

• 累计提交超过3个AI生成报告且均未经人工验证有效性的白帽子，平台将予以提醒；

• 累计提交超过5个此类报告的白帽子，平台有权拉黑您的腾讯安全应急响应中心（TSRC）账号。

AI技术正在改变安全研究的方式与效率。腾讯安全应急响应中心（TSRC）希望与各位一起，在享受技术便利的同时，共同维护一个专业、高效的漏洞提交与交流环境。

技术再强大，也不能替代人的判断和责任感。AI正在深刻改变安全研究的方式与效率，但高质量的漏洞报告，始终离不开你们的专业眼光与严谨态度。

希望每一位白帽子在享受技术红利的同时，严守技术伦理，坚守质量底线，与我们共同维护一个专业、高效、可持续发展的安全生态。

感谢您一直以来对腾讯安全应急响应中心（TSRC）的支持与信任。

参与该处置公告的SRC组织：（排名不分先后）

腾讯SRC、阿里云先知平台、蚂蚁SRC、百度SRC、字节SRC、京东SRC、滴滴SRC、美团SRC、快手SRC、深信服SRC、携程SRC、顺丰SRC、度小满SRC、BOSS直聘SRC、荣耀SRC、智联招聘SRC、科大讯飞SRC、中通SRC、小红书SRC、货拉拉SRC、小拉SRC、小鹏汽车SRC、理想汽车SRC、奇富SRC、陌陌SRC、vivoSRC、360SRC、OPPO安全中心、小米安全中心、补天漏洞响应平台、360漏洞云、BUGBANK、太初众测平台

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：腾讯安全应急响应中心 《TSRC关于AI辅助漏洞挖掘报告的提交规范：每一份漏洞报告，都值得被认真对待》