文章总结： AI工具导致漏洞发现成本降低，漏洞赏金金额大幅下降，如中等漏洞赏金从1843美元降至297美元；HackerOne暂停互联网漏洞赏金项目以重新评估价值。AI生成报告数量激增但质量下降，开源项目如curl确认漏洞比例从15%暴跌至5%，维护者负担加重。人类仍需验证影响、去重报告和协调披露，AI无法替代安全决策。 综合评分： 78 文章分类： 漏洞分析,威胁情报,安全运营,AI安全,其他

AI带来的影响初现：互联网漏洞赏金大幅下降

数世咨询

2026年5月25日 16:00 河北

在小说阅读器读本章

去阅读

点亮上方「★星标 」更多干货内容，不再错过！

本文关键看点：

#01

研究人员发现一个中等严重性漏洞，此前HackerOne为该类型漏洞付1843美元，现在则只有297美元。

#02

互联网漏洞赏金（IBB）项目目前暂停，很有可能是出于重新评估漏洞价值的原因。

#03

AI导致漏洞发现成本低了许多，生成报告也很容易扩展。但仍然需要人来验证影响、去重报告、判断某事是否真的越过安全边界、协调披露机制，并确保安全修复。

▍以下正文内容基于英文原文编译，可能存在语义偏差，请以原文为准。

✦

以下为正文

✦

至少有一名漏洞猎手发现了一个开源安全漏洞，并通过HackerOne积压的互联网漏洞赏金（IBB）项目在数月前提交了报告，最终获得了报酬——但奖励金额却大幅缩水。同样，一个关键漏洞的新IBB奖金仅为2257美元，而此前为9250美元。HackerOne发言人表示：”IBB项目目前暂停，同时我们正在评估对该项目的调整，以最大化对研究人员、赞助商和开源生态系统的价值。”

今年1月，The Register与黑客Jakub Ciolek交谈，他表示自己去年秋天通过HackerOne的IBB项目报告了Argo CD（一款流行的Kubernetes控制器）中的两个拒绝服务漏洞。Ciolek原本预计会收到约8500美元——但HackerOne却让他等了数月，在The Register联系该漏洞赏金平台后，才终于收到了邮件。

这些事件的发生并非偶然。随着AI工具能够自动生成漏洞报告并大规模扩展，漏洞猎人们提交的报告数量激增——但质量却良莠不齐。这一变化正在重塑漏洞赏金经济的格局，同时也引发了关于开源安全的深刻反思。

01

AI如何改变漏洞发现的经济学

AI驱动工具的出现从根本上降低了发现漏洞的成本，也使得生成报告变得前所未有的简单。HackerOne自己的数据证实了这一点：研究人员现在提交的高质量漏洞报告比例正在大幅下降，而垃圾报告的数量却在飙升。

这种变化的原因是多方面的。首先，AI工具使任何人——无论技术背景如何——都能生成看似专业的漏洞报告，其中包含正确格式的PoC（概念验证）。其次，AI生成的报告往往看起来很专业，但实际上缺乏对实际安全影响的真正理解。最后，当研究人员的报酬与其报告数量挂钩时，AI生成的大量低质量报告就会涌入平台。

02

开源项目的困境

像curl这样的知名开源项目已经感受到了压力。curl的安全负责人Daniel Stenberg在博客中详细描述了AI”垃圾报告”如何摧毁了该项目的漏洞赏金计划：确认的漏洞比例从超过15%暴跌至不足5%。处理这些无意义的报告占用了维护者大量的时间和精力，严重影响了他们的工作积极性。

03

仍然需要人类判断

尽管AI能够大规模生成报告，但验证影响、去重、判断某事是否真正跨越安全边界、协调披露机制，并确保安全修复——这些仍然需要人类来完成。AI可以加速发现，但最终的决策和协调仍然掌握在安全专业人员手中。

HackerOne的决定反映了一个更大的行业趋势：当AI降低了漏洞发现的门槛，传统的漏洞赏金模式正在被重新审视。IBB项目的暂停可能是暂时的，但它揭示了一个根本性的问题：在AI时代，我们如何评估和奖励安全研究工作？

* 本文为泽钧编译，原文地址：https://www.theregister.com/security/2026/05/21/hackerone-takes-an-axe-to-its-bug-bounty-rewards/5244458 注：图片均来源于网络，无法联系到版权持有者。如有侵权，请与后台联系，做删除处理。

— 【 THE END 】—

🎉 大家期盼很久的#数字安全交流群来了！快来加入我们的粉丝群吧！

🎁多种报告，产业趋势、技术趋势

这里汇聚了行业内的精英，共同探讨最新产业趋势、技术趋势等热门话题。我们还有准备了专属福利，只为回馈最忠实的您！

👉 扫码立即加入，精彩不容错过！

😄嘻嘻，我们群里见！

更多推荐

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：数世咨询 《AI带来的影响初现：互联网漏洞赏金大幅下降》