AI驱动漏洞搜索：重塑金融安全的5个新趋势

根据HackerOne等平台发布的报告显示，人工智能相关漏洞提交量同比激增210%，漏洞赏金总额攀升339%，推动行业进入“模拟黑客”新阶段。然而，效率提升的另一面是误报与噪声的泛滥——大量由AI生成的低质量漏洞报告令项目维护团队不堪重负，甚至引发"拒绝服务式"的工作压力。

免费影视、动漫、音乐、游戏、小说资源长期稳定更新！ 👉 点此立即查看 👈

安全研究人员正借助大语言模型实现侦察自动化与API逆向工程，并以前所未有的速度扫描代码库。通过将AI工具应用于模糊测试、漏洞利用自动化到跨代码库模式识别等各类技术，研究人员正以更高效率发现系统弱点。

HackerOne高级漏洞赏金项目经理Crystal Hazen指出：“过去一年我们已进入所谓的‘模拟黑客’时代，人类研究员利用自主AI系统收集数据、进行分类并推进发现进程。”该平台现已集成AI工具，旨在简化漏洞提交与分类流程。

HackerOne研究发现，与2024年同期相比，今年有效AI漏洞报告数量增长210%。与此同时，为应对AI应用中的安全隐患，各漏洞赏金计划针对AI漏洞支付的总赏金也猛增339%，其中提示注入、模型操纵和不安全的插件设计构成了主要发现。

AI信息噪音加重防御方负担

行业专家建议，人工智能应仅作为“研究助手”或指引工具，而非漏洞发现的主要机制。

漏洞赏金平台Intigriti的首席黑客官Inti De Ceukelaire表示，AI为黑客创造了更公平的竞争环境，因为它能帮助技能较弱的研究员识别易受攻击的系统或分析代码中的缺陷。但基于AI的分析结果并不总是可靠，这带来了实际运营问题。

De Ceukelaire向记者透露：“我们看到AI成为了那些自信能有所发现者的扩音器，诱使他们陷入确认偏误的恶性循环。”

处理外部漏洞报告的安全团队，需要对那些明显依赖AI生成的报告保持警惕态度。

De Ceukelaire进一步说明：“提供分类服务的漏洞赏金平台可以提供帮助，因为它们能够衡量研究人员随时间推移的记录，并利用专业技术在报告到达公司之前检测和识别AI噪音。

其他安全专家也认同，截至目前，将AI工具应用于漏洞搜寻的结果好坏参半，同时他们认为通过精细分类可以缓解这些问题。

网络安全与合规咨询公司ProCircular的进攻性网络行动主管Bobby Kuzma表示：“正确应用和验证的AI工具确实能提供高影响力的发现，但我们也看到大量报告让相关项目不堪重负，其中大部分内容，委婉地说，都属于无效信息。

处理大量由AI工具生成的质量参差不齐的报告，给资源有限的项目带来额外压力，包括那些与关键开源软件项目相关的维护团队。

以curl项目——这个常用于文件下载的命令行工具为例，已公开呼吁停止提交AI检测到的漏洞。项目维护人员抱怨称，他们花费了太多时间处理使用AI工具生成的低质量漏洞报告。

项目负责人Daniel Stenberg将大量未经证实的虚假报告比作拒绝服务攻击。近期，在收到部分由AI工具生成的真实漏洞报告后，Stenberg的态度有所缓和。

误报如潮水般涌来

Cobalt.io首席技术官Gunter Ollmann警告称，AI正在加剧供应商因频繁收到低质量漏洞提交而面临的现有问题。

Ollmann表示，安全研究人员转向AI，正在制造“大量噪音、误报和重复报告”。

“安全测试的未来不在于管理一群发现重复和低质量漏洞的猎手，而在于按需获取最佳专家，作为持续化、程序化进攻性安全计划的一部分。

英国投资研究平台TrustNet的首席信息安全官Trevor Horwitz补充道：“最佳成果仍然来自知道如何指导工具的人类。AI带来了速度和规模，但将输出转化为影响力的仍然是人类的判断力。”

云安全供应商Wiz的威胁暴露主管、漏洞赏金猎人Gal Nagli告诉记者，至少对于技术更成熟的从业者来说，AI工具尚未在漏洞赏金搜寻中产生巨大影响。

例如，那些专注于大规模自动化基础设施漏洞（如默认凭据或子域名接管）的研究人员，已经拥有了可靠的工具和检测方法。“在这些情况下并不需要AI。”Nagli说道。

Nagli解释说：“AI的真正价值在于增强专家级研究人员的能力，特别是在测试已认证门户或分析庞大的代码库和JavaScript文件时。它有助于发现那些过于复杂或微妙，而在没有AI辅助的情况下无法检测到的漏洞。”

最新一代模型可以为技术成熟的漏洞赏金猎人提供真正的帮助，不是通过取代他们，而是通过增强他们的发现能力。

Nagli补充说：“完全自主的智能体仍然面临困难，特别是在身份验证和人类情境至关重要的场景中。”

企业风险管理

漏洞赏金计划已发展为延伸企业风险管理策略的重要手段，通过在攻击者利用漏洞之前持续发现真实威胁。

安全领导者正转向持续化的、数据驱动的暴露管理，将人类智慧与自动化相结合，以实现对资产、供应链和API的实时可见性。

HackerOne报告称，83%的受访企业正在使用漏洞赏金计划，且赏金总额同比增长13%，所有计划的赏金总额达到8100万美元。

HackerOne表示，随着跨站脚本（XSS）和SQL注入等常见漏洞类型变得更容易缓解，企业正将重点和奖励转向那些揭示更深层次系统性风险的发现，包括身份验证、访问控制和业务逻辑中的缺陷。

HackerOne最新的年度基准报告显示，不当访问控制和不安全的直接对象引用漏洞同比增长18%至29%，凸显出攻击者和防御方当前关注的焦点领域。

HackerOne的Hazen总结道：“2025年，组织面临的挑战将是在速度、透明度和信任之间取得平衡：既要确保负责任的披露与公平的赏金支付，还要借助AI辅助技术完善漏洞报告的验证流程。