北京
开源项目的安全防线,正在被AI生成的虚假报告冲垮。
4月13日,漏洞赏金平台HackerOne宣布暂停"互联网漏洞赏金计划"(IBB)的新报告接收。这个自2012年运行、累计发放超150万美元奖金的项目,因AI扫描工具泛滥而难以为继——漏洞发现速度远超修复能力,虚假报告淹没真实威胁。
Node.js随即公告称,由于赏金资金来源被切断,项目将暂停向漏洞报告者发放奖励。这个纯社区驱动的开源项目没有独立安全预算,只能靠外部资金维持赏金池。
有意思的是,Node.js强调漏洞提交流程不变,处理优先级、响应时间、补丁发布均照旧。翻译一下:活照样干,但钱暂时发不出来了。
安全公司Socket透露,Node.js此前已悄然提高提交门槛。AI生成的低质量报告让志愿维护者疲于核实,如同医生被大量"AI诊断"淹没,真正的病人反而排不上号。今年1月,cURL也因同样原因终止赏金计划。
赏金机制的设计初衷是"重赏之下必有勇夫",如今却变成"重赏之下必有AI"。当自动化工具能以零边际成本批量生产"疑似漏洞",开源社区的人力审核就成了瓶颈。
Node.js在公告末尾写道:研究人员仍可通过HackerOne提交问题。只是这一次,发现漏洞的人要暂时做一回无名英雄了。
特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
