Bug悬赏项目遭低质量AI报告泛滥冲击，多家企业被迫暂停

事件概述

企业通过Bug赏金项目鼓励白帽黑客提交漏洞以获取报酬，但近期此类项目被大量低质量AI生成的报告冲击，导致部分企业不得不暂停或终止项目。

核心信息

• Bugcrowd（客户含OpenAI、T-Mobile、摩托罗拉）称，2026年3月三周内收到的报告数量翻了四倍多，但绝大多数被证实为错误。
• Curl项目已于2026年1月暂停其Bug赏金项目。
• Nextcloud于2026年4月暂停了相关赏金项目。
• Sophos首席信息安全官Ross McKerchar指出，低质量AI报告正迅速成为严重问题，Bug赏金模式将继续存在，但必须做出改变。
• HackerOne平台已开始部署AI智能体来筛选提交的报告，其CEO Kara Sprague表示，高质量AI报告近期也略有增加。

值得关注

AI工具被滥用生成海量虚假或低质量的漏洞报告，增加了安全团队的审核成本，迫使平台和项目方调整策略。行业正尝试通过AI反制AI，例如HackerOne的智能体筛选，但效果尚需观察。