人工智能正在重塑漏洞挖掘的经济学

漏洞市场正在进入一个新阶段

人工智能改变的不只是软件如何被构建，它也在改变软件如何被攻破、这些弱点被发现的速度，以及企业为了最先得知这些问题可能需要付出多少代价。根据Wired的报道，AI驱动的漏洞发现正开始让漏洞赏金项目不堪重负，在整个软件安全生态中带来新的经济和运营压力。

这很重要，因为漏洞赏金项目已经成为独立安全研究人员与大型科技公司之间最重要的桥梁之一。企业不再把外部研究人员视为对手，而是越来越多地为他们负责任地披露漏洞付费。如今，这套系统正因规模化而受到压力测试。

更多漏洞、更多提交、更多压力

核心变化很直接：智能体式AI模型正变得越来越能自主识别漏洞并开发利用程序。就实际而言，这意味着更多弱点能被更快发现，而且由更多人发现。正如原文所述，结果就是漏洞披露和赏金项目的提交量激增，而与此同时，各组织在内部也发现了更多漏洞。

独立研究员Joseph Thacker告诉Wired，他提交的漏洞数量大约是去年同期的三倍，并推测像Google这样的公司最终在赏金支付上的花费可能会比去年高出两到十倍。无论这一具体预测是否准确，变化方向是明确的：研究人员投入、漏洞稀缺性和奖励规模之间的旧关系正在被打破。

大型科技公司或许还能吸收这种压力。较小的组织则未必。如果赏金项目被大量中低严重性发现淹没，而AI系统又能大规模发现这些问题，那么分流审核工作量会上升，响应团队会更加紧张，赏金结构也可能需要调整。

攻击者与防御者正同步移动

这不只是一个关于更高效防御的故事。帮助良性研究人员发现漏洞的同样工具，也能帮助攻击者开发利用程序。这种对称性，是这场变化比短期提交量上升更严重的原因之一。

原文还描述称，这个领域对攻击者来说也在同步变化。如果利用程序开发加速，曾经支撑披露规范的那些宽松假设就可能被侵蚀。尤其是，长期沿用的90天披露窗口可能会承受压力，因为企业可能会认为攻击者比过去更快地把漏洞武器化。

文中引用的安全研究员Himanshu Anand认为，90天负责任披露窗口是为一个“漏洞发现者稀少、利用程序开发缓慢”的世界而设计的。这一说法抓住了结构性问题。披露政策建立在发现和利用的速度之上。如果AI同时改变这两者，政策框架可能就不再符合现实。

当前的充裕状态未必会一直持续

报道中最有意思的一点是，今天的赏金激增也许只是过渡性的。Thacker表示，研究人员目前正在收割容易获得的漏洞，但到明年，提交的漏洞可能会更少，因为其中较容易的部分大多已经被覆盖。如果真是这样，企业可能会经历一个循环：赏金先上涨，之后为了吸引人们关注更难发现的漏洞类别，可能还得再次提高。

这将意味着漏洞赏金经济学发生重大变化。组织面对的可能不再是针对稀缺专家发现的稳定市场，而是一波又一波由AI放大的发现：先是充裕，然后是显而易见目标的耗尽，接着是争夺能够更深入挖掘的研究人员。

与此同时，企业必须判断自己现有的安全流程是否足够快。随着从漏洞发现到可利用之间的时间缩短，分流队列、补丁开发、披露协调和用户沟通都会变得更加关键。

安全项目可能需要重设计，而不只是更多预算

一个可能的教训是，组织不能把AI赋能的漏洞挖掘简单看成成本上升。增加赏金预算或许有帮助，但如果接收、优先级排序和修复流程仍按更慢的时代设计，根本性的问题就不会解决。

项目可能需要调整严重性阈值，自动化部分验证流程，重新思考披露时限，并更清晰地区分高价值发现和普通噪音。这些改变都不容易，尤其是赏金项目也有声誉价值：如果研究人员不再把它们视为高效或公平，最优秀的人才可能会把精力转向别处。

• AI系统正让发现软件漏洞和生成利用程序变得更容易。
• 漏洞赏金项目正在收到更多发现，这改变了赏金支付和分流审核的经济结构。
• 与科技巨头相比，小公司可能更难承受不断上升的支付和审核负担。
• 更快的利用程序开发可能会加大对补丁时间表和90天披露规范的压力。

更广泛的结论很简单。AI正在同时加速安全对抗的两端。对软件供应商来说，问题不再是漏洞发现是否会加速，因为它已经加速了。现在的问题是，专为更慢的安全经济建立的制度，是否能在攻击者利用这一差距之前适应过来。

本文依据Wired的报道。阅读原文。