云代码仓库的安全要求云代码仓库要求安全研究人员排除 AI 生成的干扰信息专注于报告由其自身导致的安全问题而非用户造成的问题。图片来源Gil C - shutterstock.comGitHub 调整漏洞赏金计划面对漏洞赏金计划提交量的不断增长GitHub 决定将低安全影响报告的现金奖励改为周边礼品奖励并要求研究人员停止提交低质量报告或与自身无关问题的报告。由于生成式 AI 等新工具的出现这个基于云的代码仓库平台在过去一年收到的无实际安全影响的提交数量急剧增加。GitHub 高级安全研究员 Jarom Brown 在一篇博客文章中写道“并非每个有效的提交都代表着重大的安全风险。有些报告指出了加固机会或文档漏洞。”此外他还表示GitHub 收到的许多报告描述的是超出范围的场景即有人在与 GitHub 中的恶意内容交互后出现了“不良”后果。“这些报告通常撰写精良观察结果在技术上也准确但它们误解了安全边界所在。当‘攻击’需要受害者主动寻找并与攻击者控制的内容进行交互克隆恶意仓库、让 AI 工具分析不可信代码、打开特制文件时安全边界在于用户是否信任该内容的决策。这些场景通常不代表绕过了 GitHub 的安全控制。”他写道。Brown 的解释也是在提醒 GitHub 用户公司期望他们采取措施保护自己。尽管人工智能导致漏洞报告数量激增但 GitHub 并不希望安全研究人员停止使用它。“我们不反对研究人员使用 AI 工具。AI 是一种力量倍增器我们预计它将在安全研究中发挥越来越重要的作用。我们在内部安全项目中使用 AI也看到外部顶尖研究人员同样如此。我们对此表示欢迎。”Brown 写道。但所有 AI 生成的提交必须先由人工审核和验证——这一规则适用于任何用于漏洞挖掘的工具。通过这种方式GitHub 希望筛选出没有概念验证的报告、经不起推敲的理论攻击场景以及其公布的不符合奖励条件的报告。AI 生成的干扰是行业问题GitHub 并非唯一在提交量方面面临困境的漏洞赏金提供者——尽管并非所有平台都对 AI 持欢迎态度。分析师警告称整个行业的安全供应商、开源维护者和漏洞赏金平台越来越多地抱怨大量低质量、由 AI 辅助的漏洞报告这些报告消耗了分析师的时间减缓了事件响应速度并且在日益增多的自动化干扰中更难识别真正的威胁。开源项目 Curl 因 AI 垃圾信息取消了漏洞赏金计划HackerOne 暂停了互联网漏洞赏金计划的支付因为它无法处理 AI 提交。谷歌开源软件漏洞奖励计划也在限制支付。Linux 创始人 Linus Torvalds 最近警告称大量 AI 生成的漏洞报告使得 Linux 内核安全邮件列表“几乎完全无法管理”因为研究人员使用相同的 AI 工具发现相同的漏洞导致大量重复报告。切断安全人才输送渠道Pareekh Consulting 首席分析师 Pareekh Jain 表示GitHub 从现金支付改为赠送周边礼品可能会减少新独立研究人员的参与他们中的许多人依靠小发现的奖励来建立信誉、提升技能并维持财务状况。HFS Research 副实践负责人 Akshat Tyagi 表示如果越来越少的新人将漏洞赏金狩猎视为在安全社区学习、贡献和成长的可行途径那么生态系统底层参与度的下降可能会对网络安全人才输送产生长期影响。不过Tyagi 指出这一举措对有经验的研究人员可能是积极的“减少排队干扰意味着更快的分类、更快的支付和更高的项目可信度。”敞开大门但并非对所有人Greyhound Research 首席分析师 Sanchit Vir Gogia 预计像 GitHub 这样的平台将通过在贡献工作流程中引入更明确的信任控制来应对 AI 洪流。“有些控制是可见的权限、速率限制、模板、身份验证、信誉评分。其他控制则不太明显排名系统、自动预分类、AI 来源信号、行为评分以及对已知优质贡献者的隐性优先级排序。”他说。Jain 建议 GitHub 将其最近推出的 Stacked PRs 代码审查工具应用于漏洞赏金计划。“就像 Stacked PRs 帮助开发人员以更小、更结构化的方式审查 AI 生成的代码一样漏洞赏金平台可能会引入更结构化的漏洞提交包括自动验证、可重现的利用步骤、去重和 AI 辅助分类。”他说“安全报告可能会更像 CI/CD 工作流程而不是冗长的文本报告。”
GitHub 调整漏洞赏金计划,AI 生成干扰成行业难题
发布时间:2026/5/20 15:48:45
云代码仓库的安全要求云代码仓库要求安全研究人员排除 AI 生成的干扰信息专注于报告由其自身导致的安全问题而非用户造成的问题。图片来源Gil C - shutterstock.comGitHub 调整漏洞赏金计划面对漏洞赏金计划提交量的不断增长GitHub 决定将低安全影响报告的现金奖励改为周边礼品奖励并要求研究人员停止提交低质量报告或与自身无关问题的报告。由于生成式 AI 等新工具的出现这个基于云的代码仓库平台在过去一年收到的无实际安全影响的提交数量急剧增加。GitHub 高级安全研究员 Jarom Brown 在一篇博客文章中写道“并非每个有效的提交都代表着重大的安全风险。有些报告指出了加固机会或文档漏洞。”此外他还表示GitHub 收到的许多报告描述的是超出范围的场景即有人在与 GitHub 中的恶意内容交互后出现了“不良”后果。“这些报告通常撰写精良观察结果在技术上也准确但它们误解了安全边界所在。当‘攻击’需要受害者主动寻找并与攻击者控制的内容进行交互克隆恶意仓库、让 AI 工具分析不可信代码、打开特制文件时安全边界在于用户是否信任该内容的决策。这些场景通常不代表绕过了 GitHub 的安全控制。”他写道。Brown 的解释也是在提醒 GitHub 用户公司期望他们采取措施保护自己。尽管人工智能导致漏洞报告数量激增但 GitHub 并不希望安全研究人员停止使用它。“我们不反对研究人员使用 AI 工具。AI 是一种力量倍增器我们预计它将在安全研究中发挥越来越重要的作用。我们在内部安全项目中使用 AI也看到外部顶尖研究人员同样如此。我们对此表示欢迎。”Brown 写道。但所有 AI 生成的提交必须先由人工审核和验证——这一规则适用于任何用于漏洞挖掘的工具。通过这种方式GitHub 希望筛选出没有概念验证的报告、经不起推敲的理论攻击场景以及其公布的不符合奖励条件的报告。AI 生成的干扰是行业问题GitHub 并非唯一在提交量方面面临困境的漏洞赏金提供者——尽管并非所有平台都对 AI 持欢迎态度。分析师警告称整个行业的安全供应商、开源维护者和漏洞赏金平台越来越多地抱怨大量低质量、由 AI 辅助的漏洞报告这些报告消耗了分析师的时间减缓了事件响应速度并且在日益增多的自动化干扰中更难识别真正的威胁。开源项目 Curl 因 AI 垃圾信息取消了漏洞赏金计划HackerOne 暂停了互联网漏洞赏金计划的支付因为它无法处理 AI 提交。谷歌开源软件漏洞奖励计划也在限制支付。Linux 创始人 Linus Torvalds 最近警告称大量 AI 生成的漏洞报告使得 Linux 内核安全邮件列表“几乎完全无法管理”因为研究人员使用相同的 AI 工具发现相同的漏洞导致大量重复报告。切断安全人才输送渠道Pareekh Consulting 首席分析师 Pareekh Jain 表示GitHub 从现金支付改为赠送周边礼品可能会减少新独立研究人员的参与他们中的许多人依靠小发现的奖励来建立信誉、提升技能并维持财务状况。HFS Research 副实践负责人 Akshat Tyagi 表示如果越来越少的新人将漏洞赏金狩猎视为在安全社区学习、贡献和成长的可行途径那么生态系统底层参与度的下降可能会对网络安全人才输送产生长期影响。不过Tyagi 指出这一举措对有经验的研究人员可能是积极的“减少排队干扰意味着更快的分类、更快的支付和更高的项目可信度。”敞开大门但并非对所有人Greyhound Research 首席分析师 Sanchit Vir Gogia 预计像 GitHub 这样的平台将通过在贡献工作流程中引入更明确的信任控制来应对 AI 洪流。“有些控制是可见的权限、速率限制、模板、身份验证、信誉评分。其他控制则不太明显排名系统、自动预分类、AI 来源信号、行为评分以及对已知优质贡献者的隐性优先级排序。”他说。Jain 建议 GitHub 将其最近推出的 Stacked PRs 代码审查工具应用于漏洞赏金计划。“就像 Stacked PRs 帮助开发人员以更小、更结构化的方式审查 AI 生成的代码一样漏洞赏金平台可能会引入更结构化的漏洞提交包括自动验证、可重现的利用步骤、去重和 AI 辅助分类。”他说“安全报告可能会更像 CI/CD 工作流程而不是冗长的文本报告。”
)
)
