北京
開源項(xiàng)目的安全防線,正在被AI生成的虛假報(bào)告沖垮。
4月13日,漏洞賞金平臺(tái)HackerOne宣布暫停"互聯(lián)網(wǎng)漏洞賞金計(jì)劃"(IBB)的新報(bào)告接收。這個(gè)自2012年運(yùn)行、累計(jì)發(fā)放超150萬美元獎(jiǎng)金的項(xiàng)目,因AI掃描工具泛濫而難以為繼——漏洞發(fā)現(xiàn)速度遠(yuǎn)超修復(fù)能力,虛假報(bào)告淹沒真實(shí)威脅。
Node.js隨即公告稱,由于賞金資金來源被切斷,項(xiàng)目將暫停向漏洞報(bào)告者發(fā)放獎(jiǎng)勵(lì)。這個(gè)純社區(qū)驅(qū)動(dòng)的開源項(xiàng)目沒有獨(dú)立安全預(yù)算,只能靠外部資金維持賞金池。
有意思的是,Node.js強(qiáng)調(diào)漏洞提交流程不變,處理優(yōu)先級(jí)、響應(yīng)時(shí)間、補(bǔ)丁發(fā)布均照舊。翻譯一下:活照樣干,但錢暫時(shí)發(fā)不出來了。
安全公司Socket透露,Node.js此前已悄然提高提交門檻。AI生成的低質(zhì)量報(bào)告讓志愿維護(hù)者疲于核實(shí),如同醫(yī)生被大量"AI診斷"淹沒,真正的病人反而排不上號(hào)。今年1月,cURL也因同樣原因終止賞金計(jì)劃。
賞金機(jī)制的設(shè)計(jì)初衷是"重賞之下必有勇夫",如今卻變成"重賞之下必有AI"。當(dāng)自動(dòng)化工具能以零邊際成本批量生產(chǎn)"疑似漏洞",開源社區(qū)的人力審核就成了瓶頸。
Node.js在公告末尾寫道:研究人員仍可通過HackerOne提交問題。只是這一次,發(fā)現(xiàn)漏洞的人要暫時(shí)做一回?zé)o名英雄了。
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
