利用AI薅內容平臺的流量激勵，這是過去兩年網賺圈子里的熱門項目。在生成式AI的加持下，羊毛黨也開始從“人力密集型”轉向“技術杠桿型”。只是隨著內容平臺紛紛開展“AI起號”專項治理行動，打擊利用AI進行賬號批量生產的灰產鏈條，內容領域的羊毛已經越來越難薅。

為此，有些藝高人膽大的灰產團隊盯上了科技圈的安全漏洞賞金計劃，甚至讓某些開源項目遭受了無妄之災。日前，curl項目（一款用于通過URL傳輸數據的命令行工具和庫）創始人Daniel Stenberg宣布，正在考慮停止提供漏洞獎金，原因是他發現在過去半年時間里，curl項目收到了大量疑似AI生成的虛假漏洞報告。

Daniel Stenberg在社交平臺上吐槽到，“現在我們會立即封禁所有被認定為提交AI垃圾內容的報告者，這種情況對我們的騷擾已經達到臨界點，在事實上造成了類似DDoS攻擊的效果。如果可以，我真想向他們收取費用，以彌補這種平白浪費我們時間的行為。”

無獨有偶，Python開發團隊也表達了對于AI生成安全漏洞報告的擔憂，該團隊認為這些報告極為消耗維護者的精力，畢竟從表面上看其內容似乎煞有介事，必須經過專業審查才能確認真實性。并且由于安全漏洞報告的保密性質，被迫在虛假報告中淘金的項目維護者，甚至無法尋求社區的幫助。

由于世界上不存在沒有BUG的軟件，所以也就使得軟件開發者的一項核心工作正是修BUG。然而人力終有窮，強如蘋果、谷歌這樣的科技巨頭，也做不到憑一己之力去發現自家軟件的所有漏洞。因此“漏洞賞金計劃”這個以眾人拾柴火焰高為出發點的產物應運而生，幾乎所有大廠都提供了類似的計劃，向那些發現自家產品漏洞的人提供真金白銀的獎勵。

所以也誕生了一個很特別的職業“漏洞賞金獵人”，他們會利用自己掌握的技術鉆研提供漏洞賞金計劃的產品，以獲得回報。眾所周知，這些科技巨頭們有錢且慷慨，他們為單個漏洞提供的獎金動輒就會達到上萬美元。

比如早在2019年，專門收購和出售零日漏洞的公司Zerodium就曾宣布，為一個Android漏洞支付了高達250萬美元的費用。谷歌也曾宣布在2023向“漏洞賞金獵人”發放了超過1000萬美元的獎金，其中有關Android系統和應用的漏洞，賞金就高達340萬美元。

畢竟財帛動人心，在生成式AI尚未誕生之時，“漏洞賞金獵人”其實是專屬于網絡安全專家的職業。因為“漏洞賞金獵人”不僅需要精通網絡滲透、代碼審計等技術，還要有鉆研各種繞過安全機制的腦洞。

通常來說，有能力提供漏洞賞金計劃的機構都有自己的測試團隊，所以常規測試方法能找到的BUG基本就已經被自家測試團隊排除了，剩下的自然就只有通過想別人想不到的事情、做別人不會做的操作才能發現。比如對于普通人來說，在面對蘋果、谷歌這些巨頭的產品時，也許花幾年時間也找不到一個漏洞。

不僅如此，由于“漏洞賞金獵人”的主要工作是滲透軟件的防護機制，所以工作思路是解構，與常規程序員以開發產品為核心的思路南轅北轍，甚至一般的程序員都編不好一份看起來沒有問題的漏洞報告。

可有了生成式AI，這一切就都變得不太一樣了。利用基座大模型和自動化工具，即使普通人也能打造一個漏洞識別智能體，從而實現自動化代碼獲取、函數解析、代碼凈化、運行測試和收益估算等功能。拋開讓AI成為協助分析漏洞助手的正途，利用AI編纂漏洞報告的邪門招式，同樣也被開發了出來。

通過專用數據集訓練基座大模型以適配某個特殊場景，其實是過去兩年以來，提供企業級SaaS服務的廠商一直在做的事情。那么灰產團隊利用公開的漏洞報告，再搭配開源大模型，同樣也能輕松訓練出一個漏洞報告專用AI模型。

AI大模型編出來的漏洞報告是真的能做到形似，以至于會讓提供賞金的項目方審核人員必須花時間進行代碼審計和驗證，才能區分出高仿和真品。這一來一回，時間和資源就都浪費了。所以如果要改變現狀，直接停止提供漏洞賞金確實一針見血，可以從根源上降低收到AI編造漏洞報告的概率。

畢竟在沒有提供賞金的情況下依然愿意遞交漏洞的，大概率就是用愛發電了。

【本文圖片來自網絡】