有了生成式AI，情況發(fā)生了很大變化。

利用AI獲取內(nèi)容平臺(tái)的流量激勵(lì)，是過(guò)去兩年網(wǎng)賺圈的熱門項(xiàng)目。在生成式AI的助力下，羊毛黨從“人力密集型”轉(zhuǎn)向“技術(shù)杠桿型”。但隨著內(nèi)容平臺(tái)開展“AI起號(hào)”專項(xiàng)治理行動(dòng)，打擊利用AI批量生產(chǎn)賬號(hào)的灰產(chǎn)鏈條，內(nèi)容領(lǐng)域的“羊毛”越來(lái)越難薅了。

于是，一些大膽的灰產(chǎn)團(tuán)隊(duì)盯上了科技圈的安全漏洞賞金計(jì)劃，讓某些開源項(xiàng)目遭殃。日前，curl項(xiàng)目（一款通過(guò)URL傳輸數(shù)據(jù)的命令行工具和庫(kù)）創(chuàng)始人Daniel Stenberg表示，考慮停止提供漏洞獎(jiǎng)金，因?yàn)檫^(guò)去半年curl項(xiàng)目收到大量疑似AI生成的虛假漏洞報(bào)告。

Daniel Stenberg在社交平臺(tái)吐槽：“現(xiàn)在我們會(huì)立即封禁所有被認(rèn)定提交AI垃圾內(nèi)容的報(bào)告者，這種騷擾已到臨界點(diǎn)，實(shí)際上造成了類似DDoS攻擊的效果。如果可以，真想向他們收費(fèi)，彌補(bǔ)浪費(fèi)我們時(shí)間的行為?！?/p>

無(wú)獨(dú)有偶，Python開發(fā)團(tuán)隊(duì)也對(duì)AI生成的安全漏洞報(bào)告表示擔(dān)憂。他們認(rèn)為這些報(bào)告很消耗維護(hù)者精力，表面上內(nèi)容看似合理，需專業(yè)審查才能確定真實(shí)性。而且由于安全漏洞報(bào)告的保密性質(zhì)，項(xiàng)目維護(hù)者在虛假報(bào)告中篩選時(shí)，無(wú)法尋求社區(qū)幫助。

因?yàn)椴淮嬖跊](méi)有BUG的軟件，所以修復(fù)BUG是軟件開發(fā)者的核心工作之一。但人力有限，像蘋果、谷歌這樣的科技巨頭，也無(wú)法獨(dú)自發(fā)現(xiàn)自家軟件的所有漏洞。因此，“漏洞賞金計(jì)劃”應(yīng)運(yùn)而生，幾乎所有大廠都提供該計(jì)劃，給發(fā)現(xiàn)自家產(chǎn)品漏洞的人提供獎(jiǎng)金。

由此誕生了“漏洞賞金獵人”這一職業(yè)。他們利用技術(shù)鉆研提供漏洞賞金計(jì)劃的產(chǎn)品以獲取回報(bào)。科技巨頭們出手闊綽，單個(gè)漏洞的獎(jiǎng)金動(dòng)輒上萬(wàn)美元。

比如2019年，專門收購(gòu)和出售零日漏洞的公司Zerodium為一個(gè)Android漏洞支付了250萬(wàn)美元。谷歌在2023年向“漏洞賞金獵人”發(fā)放了超1000萬(wàn)美元獎(jiǎng)金，其中Android系統(tǒng)和應(yīng)用的漏洞賞金達(dá)340萬(wàn)美元。

在生成式AI出現(xiàn)前，“漏洞賞金獵人”是網(wǎng)絡(luò)安全專家的專屬職業(yè)。他們不僅要精通網(wǎng)絡(luò)滲透、代碼審計(jì)等技術(shù)，還要有繞過(guò)安全機(jī)制的奇思妙想。

通常，提供漏洞賞金計(jì)劃的機(jī)構(gòu)有自己的測(cè)試團(tuán)隊(duì)，常規(guī)測(cè)試能發(fā)現(xiàn)的BUG基本已被排除，剩下的需通過(guò)獨(dú)特的思路和操作才能發(fā)現(xiàn)。比如普通人面對(duì)蘋果、谷歌的產(chǎn)品，可能幾年都找不到一個(gè)漏洞。

而且，“漏洞賞金獵人”的工作是解構(gòu)軟件防護(hù)機(jī)制，與常規(guī)程序員開發(fā)產(chǎn)品的思路相反，一般程序員甚至寫不好一份看似沒(méi)問(wèn)題的漏洞報(bào)告。

但有了生成式AI，一切都不同了。利用基座大模型和自動(dòng)化工具，普通人也能打造漏洞識(shí)別智能體，實(shí)現(xiàn)自動(dòng)化代碼獲取、函數(shù)解析等功能。除了讓AI協(xié)助分析漏洞，利用AI編纂漏洞報(bào)告的歪門邪道也出現(xiàn)了。

過(guò)去兩年，提供企業(yè)級(jí)SaaS服務(wù)的廠商通過(guò)專用數(shù)據(jù)集訓(xùn)練基座大模型適配特殊場(chǎng)景?；耶a(chǎn)團(tuán)隊(duì)利用公開的漏洞報(bào)告和開源大模型，也能輕松訓(xùn)練出漏洞報(bào)告專用AI模型。

AI大模型編出的漏洞報(bào)告很逼真，項(xiàng)目方審核人員需花時(shí)間進(jìn)行代碼審計(jì)和驗(yàn)證才能區(qū)分真假。這浪費(fèi)了大量時(shí)間和資源。所以，停止提供漏洞賞金能從根源上降低收到AI編造漏洞報(bào)告的概率。

畢竟，在沒(méi)有賞金的情況下還愿意提交漏洞的，大概率是出于熱愛。

本文來(lái)自微信公眾號(hào)“三易生活”（ID：IT - 3eLife），作者：三易菌，36氪經(jīng)授權(quán)發(fā)布。

本文僅代表作者觀點(diǎn)，版權(quán)歸原創(chuàng)者所有，如需轉(zhuǎn)載請(qǐng)?jiān)谖闹凶⒚鱽?lái)源及作者名字。

免責(zé)聲明：本文系轉(zhuǎn)載編輯文章，僅作分享之用。如分享內(nèi)容、圖片侵犯到您的版權(quán)或非授權(quán)發(fā)布，請(qǐng)及時(shí)與我們聯(lián)系進(jìn)行審核處理或刪除，您可以發(fā)送材料至郵箱：service@tojoy.com