互联网漏洞悬赏计划暂停奖励发放

互联网漏洞悬赏计划暂停奖励发放

向开源软件漏洞报告者发放奖励的互联网漏洞悬赏计划（Internet Bug Bounty）宣布暂停。负责管理该计划的HackerOne表示，正在"暂停接收提交"，同时评估更有效应对开源安全问题的方式。

互联网漏洞悬赏计划由多家头部软件企业共同资助，自2012年运营至今，已向漏洞报告研究人员累计发放超过150万美元的奖励。此前，奖励资金中80%用于奖励新漏洞的发现，20%用于支持漏洞修复工作。然而，随着人工智能技术的普及使漏洞发现变得更加便捷，这一比例结构亟需调整。HackerOne在声明中指出："AI辅助研究正在加速整个生态系统中的漏洞发现，覆盖范围和发现速度均大幅提升。开源领域漏洞发现与修复能力之间的平衡已发生实质性转变。"

首批受到影响的项目之一是Node.js——一个广泛应用于Web应用程序开发的服务器端JavaScript平台，以其庞大的生态系统著称。据其官网公告，尽管Node.js项目团队将继续通过HackerOne接收并处理漏洞报告，但由于失去互联网漏洞悬赏计划的资金支持，该项目将不再向研究人员发放漏洞奖励。

互联网漏洞悬赏计划并非唯一一个因AI介入漏洞挖掘而陷入困境的项目。今年1月，Curl项目宣布停止接收新的漏洞提交；而就在上个月，谷歌也对其开源软件漏洞奖励计划（Open Source Software Vulnerability Reward Program）中的AI生成提交内容实施了限制。

Q&A

Q1：互联网漏洞悬赏计划为什么暂停奖励发放？

A：HackerOne表示，AI辅助研究已大幅提升漏洞发现的速度和覆盖范围，导致漏洞发现数量与开源社区实际修复能力之间出现严重失衡。原有80%奖励用于发现、20%用于修复的资金分配模式已不再适用，因此计划暂停奖励发放，重新评估开源安全的应对机制。

Q2：Node.js项目受到互联网漏洞悬赏计划暂停的影响了吗？

A：是的。Node.js是首批受到影响的项目之一。虽然Node.js团队仍会继续通过HackerOne接收和处理漏洞报告，但由于失去互联网漏洞悬赏计划的资金支持，研究人员提交漏洞后将不再获得任何经济奖励。

Q3：除互联网漏洞悬赏计划外，还有哪些项目因AI问题暂停了漏洞提交？

A：类似情况并不罕见。今年1月，Curl项目宣布停止接收新的漏洞提交；上个月，谷歌也对其开源软件漏洞奖励计划中由AI生成的漏洞提交内容实施了限制。这表明AI对漏洞挖掘领域的冲击已成为行业普遍面临的挑战。