AI 垃圾內容湧入漏洞獎勵計畫，企業疲於應對假回報

📄完整原文· 由 trafilatura 自動擷取Gemini 翻譯3113 字

簡述 - 經營 bug bounty 計畫的公司回報，低品質 AI 生成提交數量急遽增加。 - HackerOne 與 Nextcloud 均在大量假報告湧入後暫停了 bug bounty 計畫。 - 資安公司表示，AI 工具讓大規模提交報告變得更容易，正在改變漏洞獵捕的生態。人工智慧正為那些仰賴 bug bounty 計畫來發掘軟體漏洞的公司帶來新麻煩。資安公司與開源軟體專案正面臨大量 AI 生成的 bug 報告湧入，其中許多是錯誤或具誤導性的。這是來自 Financial Times 的報導，其指出低品質提交數量持續成長，迫使部分組織暫停 bug bounty 計畫，因為資安團隊需花費更多時間從垃圾訊息中辨識真正的漏洞。 Bug bounty 也已成為一門大生意，包括 Meta、Microsoft、Apple 及 Crypto.com 等公司，於 2025 年合計支付至少 5,800 萬美元給那些在駭客之前找出軟體缺陷的研究者。然而，生成式 AI 工具也讓大規模產出不準確或低品質漏洞報告變得更容易，使 bug bounty 計畫更易被濫用。位於舊金山的 Bugcrowd 表示，在 3 月的三週期間，透過其平台提交的報告增加了超過四倍。這家客戶包含 ChatGPT 開發商 OpenAI 的公司表示，大多數報告都是假的。由於 AI 生成報告大量湧現，部分公司已開始縮減其公開的 bounty 計畫。「Bug bounty 會繼續存在，但它們將不得不改變，」資安公司 Sophos 的資訊安全長 Ross McKerchar 告訴 Financial Times。 4 月時，資安平台 HackerOne 與託管平台 Nextcloud 雙雙暫停了其付費 bounty 計畫，Nextcloud 並補充表示「不論嚴重程度為何，任何提交皆不會獲得任何財務獎勵。」「如您所知，這是一個全產業面臨的挑戰，與其他業者一樣，我們尚未找到能負責任地處理低品質報告大量增加的方法，」Nextcloud 寫道。「我們希望在找到可靠方法過濾掉這類低投入報告後，能重新啟動該計畫。」這則 bug bounty 消息出現之際，正逢 AI 模型在尋找漏洞方面日益精進。3 月時，Anthropic 推出了 Mythos，一款專注於資安的 AI 模型，該公司表示它能比人類更快地辨識出漏洞。該公司目前仍將此模型保密，僅開放給科技巨頭、資安公司與政府等對象使用。 4 月時，Claude Mythos 在內部測試中於 Mozilla Firefox 識別出 271 個漏洞；而本月稍早，資安研究人員表示，該模型的預覽版本協助開發出一個針對 Apple M5 晶片的漏洞利用程式。 Myriad — 一個由 Decrypt 母公司 Dastan 營運的預測市場平台 — 上的使用者並不認為 Claude Mythos 會在 6 月底之前公開發布，目前僅給出 18% 的機率。

資料狀態✓ 已擷取全文閱讀原文（Decrypt）

🔍歷史類似事件· 關鍵字 + 標的比對4 則

2026-04-22

AI 推動「bug bounty」報告激增，但「slop」也在增加

相似度 200%關鍵字 slop/bug/reports

2026-04-22

AI 推動「bug bounty」報告激增，但「slop」也在增加

相似度 200%關鍵字 slop/bug/reports

2026-04-28

Litecoin 事後檢討：MWEB 漏洞導致攻擊者偽造 85,034 LTC 提現，隨後開發人員凍結資金

相似度 100%關鍵字 bug/fake

2026-04-21

AI slop 已經造成了 crypto 公司無法忽視的搜尋問題

相似度 100%關鍵字 companies/slop

💡 目前用關鍵字 + 標的比對（MVP）· 之後會升級為 embedding 語意搜尋

原始資訊

ID：4a452d7326

來源：Decrypt

發佈：2026-05-19 12:57:58

分類：一般 · 導出分類 neutral

標的：未指定

社群投票：+0 / −0 · ⭐ 0 重要 · 💬 0 留言