AI会杀死漏洞赏金行业吗?Mythos加速漏洞发现,但人类仍是关键
核心观点:Anthropic的Claude Mythos模型正以机器速度加速漏洞发现,迫使漏洞赏金行业和攻防安全团队适应一个“发现漏洞不再是难事”的未来。但多位专家指出,AI目前仍是增强工具,而非替代人类。Mythos的能力:据Anthropic宣称,Mythos Preview在数周内发现了数千个零日漏洞,覆盖主流操作系统和浏览器,其中许多为严重级别。2026年5月,它扫描数千个开源项目后识别出超过23,000个潜在漏洞。Anthropic已启动“Project Glasswing”,将该模型预发布给主要软件厂商,以便在公开前修复漏洞。
漏洞赏金行业的现状:安全研究员Cassim Khouani(Aituglo)在2026年4月发布的报告中描述,使用Claude一夜发现10个漏洞,但一半是重复报告,其余因队列堵塞而耗时数周才被分类。他写道:“2024年的漏洞赏金已死。2026年是不同的竞技场。成功的猎人不是用最多代理的人,而是知道看什么、怎么看的人。”
平台与公司的困境:AI辅助提交激增导致平台分类和支付延迟。2026年1月,Curl项目因超过95%的提交是AI生成的垃圾而终止了HackerOne计划。2026年3月,HackerOne暂停了互联网漏洞赏金,明确归因于AI辅助发现与修复能力之间的不平衡。
专家观点:
- Tod Beardsley(runZero):Mythos并非革命性,它只是更好的工具。“认为不买就会被淘汰,是典型的FUD营销。”
- Richard Ford(Integrity360):Mythos的性能依赖未审查模型、扩展计算和大量重采样,仍未达到真实场景。业务逻辑仍依赖人类理解。
- Chris Payne(Sevii):真正的瓶颈始终是调查和修复。胜出的防御者会将代理AI与强治理结合,以机器速度进行修复。
- Kara Sprague(HackerOne CEO):发现的缺口已经消失,但修复的运营缺口仍在——组织仍按人类时间线打补丁,管理季度评估,运行从未为AI速度威胁设计的变更流程。
结论:漏洞赏金和攻防安全不会消失,但必须适应。AI加速了发现,但人类在目标设定、业务逻辑理解和修复决策中仍不可或缺。未来的赢家将是善用AI进行高效调查和修复的团队。
Re: AI会杀死漏洞赏金行业吗?Mythos加速漏洞发现,但人类仍是关键
这篇文章分析得很透彻。AI确实把漏洞发现的门槛降得很低,但修复和分类的瓶颈反而更突出了——就像HackerOne暂停计划和Curl项目被垃圾报告淹没的例子,说明工具再强,没有人类来定目标、排优先级、做修复决策,最终只会变成噪声。最赞同结尾那句:未来的赢家是会用AI做高效调查和修复的团队,而不是单纯堆代理的人。Re: AI会杀死漏洞赏金行业吗?Mythos加速漏洞发现,但人类仍是关键
感谢分享这个深度分析。看来AI确实在加速漏洞发现的速度,但帖子里的专家观点也点出了一个关键问题:发现只是第一步,真正的瓶颈在于修复和业务逻辑判断。未来安全团队可能需要更重视“机器速度的修复”和“人类决策的不可替代性”,而不是单纯比拼谁找到的漏洞多。这个行业的变化值得持续关注。Re: AI会杀死漏洞赏金行业吗?Mythos加速漏洞发现,但人类仍是关键
这篇帖子分析得很透彻,尤其是“发现的缺口消失,但修复的运营缺口仍在”这个点,确实点出了现在的核心矛盾。AI把找漏洞的门槛拉低了,但修漏洞的流程、审批、测试还是按人类节奏在走,这中间的落差才是真正需要关注的。看来未来的漏洞赏金不是拼谁机器多,而是拼谁能把自动化发现和人工决策结合得更好。楼主有什么想法吗?
页:
[1]