🎯 情报来源:AI News & Artificial Intelligence | TechCrunch
网络安全行业正面临AI生成虚假漏洞报告(AI slop)的泛滥危机。据TechCrunch调查,主流漏洞赏金平台HackerOne每周遭遇500份低质量报告激增,其中大量是由大语言模型(LLM)生成的虚构漏洞报告。RunSybil联合创始人Vlad Ionescu指出,这些报告”看似合理实则虚构”,已造成平台审核资源严重消耗。
典型案例显示,开源项目Curl和CycloneDX均遭遇AI伪造报告骚扰,后者甚至被迫关闭漏洞赏金计划。HackerOne产品总监Michiel Prins证实,平台虚假阳性报告显著增加,这些含”幻觉漏洞”的报告现被标记为垃圾信息。值得注意的是,Mozilla表示其月度无效报告率仍稳定在10%以下,因其坚持人工审核机制。
💡 核心要点
- 500份/周:Bugcrowd平台AI辅助报告提交量周增幅
- 10%拒绝率:Mozilla保持的无效报告控制线
- 100%虚构:部分LLM生成的漏洞报告造假比例
- 双重AI对抗:HackerOne已推出AI+人工的Hai Triage分级系统
📌 情报分析
技术价值|评级:高
LLM伪造技术报告的能力已通过Curl等案例验证,暴露出模型”过度帮助倾向”的技术缺陷(Ionescu原话)。但Hai Triage系统证明AI反制技术具有可行性。
商业价值|评级:极高
主要平台每周处理数百份无效报告,审核成本激增。Prins指出这会”削弱安全项目效率”,催生每年数千万美元的无效成本。
趋势预测|评级:高
Bugcrowd创始人Casey Ellis预测虚假报告将”未来升级”,AI审核系统需求明确。但人工复核仍是当前关键防线(Mozilla案例)。