Wordfence追踪6个月：AI漏洞研究占比从16%飙到66%

去年11月，Wordfence开始干一件挺有意思的事——让提交漏洞的研究者自报：你用AI了吗？

第一周的数据是16%。六个月后，这个数字变成了66%。

这不是实验室预测，是真金白银的赏金项目里跑出来的真数据。

Wordfence每年给WordPress漏洞研究者发六位数的赏金（美元）。这笔钱买的不只是漏洞报告，更是防护规则——新漏洞一确认，他们的防火墙就能给全体客户上盾。现在三分之二的报告背后都有AI参与，这个比例爬升的速度，比大多数安全圈人士的直觉估计要快得多。

研究者到底用AI干什么

原文没细说具体场景，但漏洞研究的典型环节无非几样：代码审计找注入点、构造验证用例（PoC）、写报告、绕过WAF测试。

AI在这几件事里的角色不太一样。写报告和构造基础PoC属于"体力活"，大语言模型（LLM）现在确实能代劳大部分。但真正的价值可能在代码审计——让AI先过一遍海量插件代码，标出可疑模式，人类研究者再聚焦深挖。

Wordfence的数据是"used AI in some form"，范围很宽。可能是全程主导，也可能是辅助查文档。但66%的自报率说明一件事：用AI已经不新鲜，不用反而需要特意说明。

赏金项目的微妙变化

这里有个反直觉的点。bug bounty的核心竞争力是"第一个发现"，赏金往往按提交顺序递减。AI提速意味着竞争更卷，但Wordfence没提到赏金总额或单价的变化。

他们的逻辑是另一套：更多漏洞被更快发现→防护规则更快上线→客户更安全。AI在这里是放大器，不是替代者。毕竟最终确认漏洞、写防护规则的还是人——至少目前如此。

创始人Mark Maunder没对66%这个数字做解读，只是公布了追踪结果。这种克制挺有意思。换成某些厂商，可能早就发新闻稿说"AI重塑安全研究"了。

WordPress生态的特殊性

WordPress插件库有六万多个扩展，代码质量参差不齐。这是AI辅助审计的理想场景：规则明确、代码量大、历史漏洞模式可学习。换成闭源商业软件，同样的方法可能碰壁。

Wordfence的数据只覆盖自家赏金项目，但WordPress占了全网四成网站。这个66%的渗透率，某种程度上是开源代码安全研究的先行指标。

一个细节：他们的追踪从"late November 2025"开始。等等，2025年11月还没到。原文应该是笔误，实际应为2024年。但数据本身的时间跨度是明确的——六个月，从16%到66%。

如果明年这个时候再看，自报率会摸到90%吗？以及，当AI参与成为默认设置，"人类独立发现"会不会变成需要额外标注的稀有事件？