AI生成内容与虚假报告威胁漏洞赏金计划资源

近年来，由大型语言模型生成的低质量内容——即所谓的“AI slop”——已充斥互联网，影响了网站、社交媒体平台，甚至某些新闻机构和现实事件。网络安全领域也未能幸免，越来越多的“AI slop”漏洞赏金报告被提交，这些报告声称发现了不存在的漏洞，内容看似专业，实则完全是AI虚构的。 RunSybil公司联合创始人兼CTO维拉德·伊奥内斯库（Vlad Ionescu）表示，这些报告往往让人误以为是真实漏洞，但深入调查后却发现根本不存在。他指出，AI生成的内容容易被误认为有效，导致漏洞赏金平台和企业被大量无效报告淹没，影响效率。 类似情况已发生多起。例如，开源项目Curl曾收到一份伪造的漏洞报告，安全研究员哈里·辛顿宁（Harry Sintonen）称，该项目能轻易识别出AI生成的内容。另一开源项目CycloneDX的开发者甚至取消了漏洞赏金计划，因收到的报告几乎全是AI生成的垃圾信息。 漏洞赏金平台HackerOne和Bugcrowd也面临这一问题。HackerOne表示，虚假漏洞报告数量上升，部分报告包含“虚构漏洞”或模糊技术内容，被当作垃圾处理。Bugcrowd创始人凯西·埃利斯（Casey Ellis）称，虽然AI被广泛用于生成报告，但目前尚未出现大量低质量报告。 目前，多数企业仍依赖人工审核漏洞报告，例如Mozilla表示，其Firefox浏览器的漏洞报告审核团队并未使用AI，以免误判真实漏洞。微软和Meta未回应相关问题，谷歌也未置评。 为应对这一趋势，HackerOne已推出AI辅助的“Hai Triage”系统，结合AI与人工审核，以提高效率，减少无效报告。随着黑客越来越多地使用AI生成报告，企业也在利用AI进行筛选，这场“AI对抗AI”的较量正悄然展开。