加密货币公司报告AI生成漏洞赏金提交量激增
加密货币公司报告称,人工智能生成的漏洞赏金提交数量急剧增加,这一趋势正给安全团队带来压力,并引发人们对涌入赏金计划的大量自动化漏洞报告质量的质疑。
这一激增现象反映出一个更广泛的模式,即研究人员使用大语言模型和其他人工智能工具大规模生成并提交安全报告。运营着交易所、钱包和去中心化金融协议等高价值目标的加密货币公司,似乎吸收了其中不成比例的提交量。
这一趋势并非加密货币领域独有。curl的创建者丹尼尔·斯滕伯格曾撰文谈到收到他称之为人工智能生成的“劣质”安全报告,这些报告表面上类似于合法的漏洞披露,但未能识别出真正的错误。这些报告通常使用自信的语言和看似合理的格式,让人难以一眼驳回。
数量上升并不意味着质量上升
加密安全团队面临的核心问题是提交数量与有效漏洞发现之间的差距。人工智能工具可以快速生成报告,但其中许多报告描述的问题是重复的、误报的,或者根本无法在目标系统架构中利用。
每份提交仍然需要人工审核。分类工程师必须阅读报告,尝试复现所描述的漏洞,并确定其是否代表真正的风险。当大量涌入的报告信息价值低时,运营赏金计划的成本就会增加,而实际的安全发现却未成比例增长。
特别是对于加密货币公司而言,在大量干扰信息中遗漏一个真实漏洞的风险极高。针对智能合约或交易所前端的攻击可能导致即时且不可逆转的财务损失。审核速度变慢意味着一份真正的关键报告可能处于未被审查状态的时间窗口更长。
其中一家最大的漏洞赏金平台已在其报告中承认了这种动态变化,指出了平台评估提交质量和研究人员可信度方式的变化。
赏金计划如何适应
如果人工智能辅助的提交量持续攀升,服务于加密货币公司的赏金计划可能会收紧其接收流程。更严格的概念验证要求——提交者必须演示一个可行的利用方式,而非仅仅描述理论攻击——将过滤掉许多缺乏实践验证的人工智能生成报告。
一些计划可能还会提高最低质量门槛,要求提交者在报告智能合约漏洞时展示手动测试的证据,或提供交易哈希和链上数据。这将提高自动化提交的门槛,同时为熟练的研究人员保留通道。
基于信誉加权的分类是另一种可能的应对措施。平台可以优先处理那些有有效发现记录的研究者提交的报告,将未经验证的提交者推入较慢的审核队列。这种方法效仿了新兴加密平台在其他情境下处理信任的方式,即重视已证明的可信度而非单纯的数量。
加密安全团队面临的运营挑战是明确的:他们需要维护开放的赏金计划以吸引真正的研究人员,同时建立防御机制以应对日益增长的自动化干扰信息。那些最快适应其分类工作流程的公司将能更好地在真实漏洞演变为代价高昂的攻击之前将其捕获。
交易所
交易所排行榜
24小时成交排行榜
人气排行榜
交易所比特币余额
交易所资产透明度证明
去中心化交易所
资金费率
资金费率热力图
爆仓数据
清算最大痛点
多空比
大户多空比
币安/欧易/火币大户多空比
Bitfinex杠杆多空比
ETF追踪
索拉纳ETF
瑞波币ETF
香港ETF
比特币持币公司
加密资产反转
以太坊储备
HyperLiquid钱包分析
Hyperliquid鲸鱼监控
大额转账
链上异动
比特币回报率
稳定币市值
期权分析
新闻
文章
财经日历
专题
钱包
合约计算器
账号安全
资讯收藏
自选币种
我的关注