GitHub漏洞赏金计划收紧标准，低质AI报告或只能获得周边礼品

漏洞赏金计划数十年来一直是网络安全领域的重要机制，为独立研究人员提供了一个在攻击者利用漏洞之前进行结构化披露的渠道。然而，AI辅助报告的大量涌入正在打乱这一体系的运转。

GitHub上周宣布，随着安全研究领域AI工具使用率持续攀升，其漏洞赏金计划的提交量急剧增加，公司将因此全面收紧相关标准。

GitHub漏洞赏金计划高级产品安全工程师Jarom Brown在一篇博客文章中表示，公司正在收到越来越多缺乏概念验证、无法展示实际影响，或未能提供明确证据证明安全边界确实被突破的报告。

Brown写道："整个行业的漏洞赏金计划都在面对同样的挑战，一些计划甚至已经彻底关闭。"

GitHub强调，公司并不反对研究人员使用AI。事实上，GitHub表示，AI有望在现代安全研究流程中扮演越来越核心的角色。问题在于，借助AI生成的投机性报告或质量低下的报告数量不断增加。

Brown指出："工具本身并不重要，工作质量才是关键。"

这一消息是在Anthropic于HackerOne平台推出首个公开漏洞赏金计划的一周之后发布的。此前，Anthropic主要依赖管控严格的安全测试工作，此次则向外部研究人员开放了安全报告渠道。

而在此之前数周，Anthropic刚刚发布了Claude Mythos和Project Glasswing——一项围绕更先进前沿模型构建的限制访问网络安全计划。该公司声称，这一模型能够比其当前公开系统更有效地识别和串联软件漏洞。

Anthropic将Mythos定位为在更强大的进攻性AI工具普及之前强化防御性网络安全能力的整体战略的一部分。然而，该公司同步扩展至传统的人工主导漏洞赏金计划，也凸显了AI安全行业内部日益加剧的矛盾：即便各公司在积极推销具备自主能力的网络安全系统，在识别、验证和复现真实世界漏洞方面，对人工研究人员的依赖依然清晰可见。

根据更新后的标准，GitHub表示研究人员现在需要满足更严格的要求，包括提供可运行的概念验证演示、展示实际安全影响、对扫描工具或AI生成的发现进行验证，以及遵守GitHub公布的不符合赏金资格的漏洞列表。

识别低风险加固机会或文档缺口的报告，也可能不再具备现金奖励资格。GitHub表示，对于部分严重程度较低但仍促成了修复的发现，将以公司周边礼品代替赏金。

公司还呼吁研究人员提交更简洁、更易于核实的报告，认为过于繁琐的报告让安全团队难以从中识别出真正可利用的漏洞。而这个问题，同样部分源于AI的滥用。

Brown写道："冗长的报告，例如长达数页的理论性叙述、反复铺陈的背景信息或AI生成的填充内容，会拖慢漏洞分类速度，因为真正的发现被淹没其中。报告越清晰直接，我们处理的速度就越快。"

GitHub的表态，呼应了开源安全社区部分成员对所谓"AI滥竽充数"式漏洞报告日益增长的不满情绪。今年1月，开源数据传输工具cURL的创始人及首席开发者Daniel Stenberg宣布关闭该项目的漏洞赏金计划，原因是维护人员被大量低质量AI辅助提交淹没。

Stenberg当时写道："我们实际上正在遭受DDoS攻击。如果可以的话，我们会向他们收取浪费我们时间的费用。到目前为止，我们还没有看到任何一份借助AI完成的有效安全报告。"

Stenberg随后澄清，他并不反对AI辅助安全研究本身，并举出了研究人员成功利用AI工具发现合法漏洞和代码问题的案例。他的批评针对的是那些为了获取赏金而提交的、缺乏充分验证的报告。

这与GitHub的立场不谋而合。公司强调，AI辅助发现的漏洞仍然受到欢迎，但前提是研究人员在提交前对其进行了充分验证。

Brown写道："人工研究人员需要对提交内容的准确性负责。"

GitHub的博客文章还花了大量篇幅阐述其认为外界对平台安全边界存在的误解，尤其是涉及AI工具、恶意代码仓库和提示注入攻击的情况。

公司认为，许多涉及有害AI输出或恶意代码仓库的报告，通常属于其所称的"共同责任模型"范畴。GitHub表示，用户仍需自行判断哪些代码仓库、脚本、工作流以及AI生成的输出是可信的、可执行的。

Brown写道："当一次'攻击'需要受害者主动寻找并与攻击者控制的内容进行交互时，安全边界在于用户自身对该内容的信任决策。"

GitHub列举了若干通常不被认定为赏金资格漏洞的示例，包括将内容刻意输入AI系统的提示注入攻击、克隆代码仓库中的恶意Git钩子，以及AI工具在处理不可信输入后产生危险输出等情形。

这一界定至关重要，因为随着AI编程智能体越来越自主、越来越深度地融入软件开发环境，提示注入攻击和AI生成的恶意代码已成为核心安全隐患。

对于GitHub而言，判断标准似乎在于：攻击者是否真正绕过了GitHub掌控的安全边界，还是仅仅诱导用户信任了带有恶意的内容。

Q&A

Q1：GitHub为什么要收紧漏洞赏金计划的标准？

A：GitHub收紧标准的主要原因是AI辅助安全研究工具的普及导致提交量大幅上升，但其中许多报告缺乏概念验证、无法展示实际安全影响，或未能证明安全边界被真正突破。这类低质量报告大量占用了安全团队的审核资源，拖慢了漏洞分类处理速度，迫使GitHub不得不提高准入门槛。

Q2：GitHub漏洞赏金计划新标准下，哪类报告可能只拿到周边礼品而非现金？

A：根据更新后的标准，识别低风险加固机会或文档缺口的报告可能不再具备现金奖励资格。对于严重程度较低、但确实促成了修复的发现，GitHub将以公司周边礼品代替赏金。此外，缺乏可运行概念验证、未展示实际安全影响或未对AI生成发现进行充分验证的报告，也可能无法获得赏金。

Q3：GitHub对提示注入攻击和恶意代码仓库报告的态度是什么？

A：GitHub认为，许多涉及提示注入攻击或恶意代码仓库的报告属于"共同责任模型"范畴，通常不被认定为具有赏金资格的漏洞。GitHub的判断标准在于攻击者是否真正绕过了GitHub掌控的安全边界。如果攻击需要受害者主动寻找并信任攻击者控制的内容，则安全边界在于用户自身的信任决策，而非GitHub平台的技术缺陷。