加密協議方警告稱,AI 的使用增加導致大量虛假漏洞賞金報告湧現,給試圖識別協議真實威脅的團隊帶來了巨大壓力。
漏洞賞金是一種獎勵「白帽」駭客提交潛在漏洞報告的機制,在加密行業中頗為流行。AI 現在更易於掃描大量代碼以發現潛在漏洞,儘管 AI 也以「幻覺」著稱。
「AI 正在改變漏洞賞金項目的運作模式,」Cosmos Labs 聯席首席執行官 Barry Plunkett 周二表示,當時他正在回應一位指控協議方忽略其漏洞報告的賞金獵人。
「我們的項目今年提交量較去年增長了 900%,每天約有 20-50 份,」他說,並補充稱,這導致有效和無效報告都大幅增加。
區塊鏈開發者、Komodo Platform 首席技術官 Kadan Stadelmann 告訴 Cointelegraph,他也看到機構的漏洞賞金提交和支付明顯增加。
低質量漏洞賞金提交確實明顯增加,其中一些是誤報,這可能表明有人工智慧參與。一個可能的解釋是,人工智慧降低了生成報告的成本,從而導致提交量激增。
今年 1 月,開源資料傳輸工具 curl 的創建者 Daniel Stenberg(該工具被許多應用程式使用,包括區塊鏈基礎設施)宣布,他將終止自己的漏洞賞金計畫,因為「漏洞報告中充斥著人工智慧垃圾內容」,而他也已疲於篩查這些報告。
全球最大的漏洞賞金平台之一 HackerOne 報告稱,2025 年共有 85000 份有效賞金提交,較前一年增長 7%。
人工智慧既可能是原因,也可能是解決方案
Plunkett 表示,隨著漏洞賞金提交量上升,Cosmos Labs 已開始調整應對方式,包括收紧提交評分標準、優先處理有良好記錄的可信研究人員,並與提供更先進分流服務的其他漏洞賞金平台合作。
同時,Stadelmann 表示,漏洞賞金項目已被證明是防禦去中心化系統的關鍵,而採用人工智慧協助篩除噪音可能成為一種解決方案。
「區塊鏈團隊將不得不建立人工智能防護機制,以篩選進入的漏洞賞金。團隊越小,漏洞賞金增加帶來的問題就會越大。軟體工程師沒有能力逐一審查所有內容,」他說。
This is precisely where automated screening by defensive AI systems for incoming bug bounties will become crucial. Teams relying on bug bounties need to establish stricter criteria for their bug bounty programs to reduce the number of incoming reports.