利用AI薅内容平台的流量激励,这是过去两年网赚圈子里的热门项目。在生成式AI的加持下,羊毛党也开始从“人力密集型”转向“技术杠杆型”。只是随着内容平台纷纷开展“AI起号”专项治理行动,打击利用AI进行账号批量生产的灰产链条,内容领域的羊毛已经越来越难薅。
为此,有些艺高人胆大的灰产团队盯上了科技圈的安全漏洞赏金计划,甚至让某些开源项目遭受了无妄之灾。日前,curl项目(一款用于通过URL传输数据的命令行工具和库)创始人Daniel Stenberg宣布,正在考虑停止提供漏洞奖金,原因是他发现在过去半年时间里,curl项目收到了大量疑似AI生成的虚假漏洞报告。
Daniel Stenberg在社交平台上吐槽到,“现在我们会立即封禁所有被认定为提交AI垃圾内容的报告者,这种情况对我们的骚扰已经达到临界点,在事实上造成了类似DDoS攻击的效果。如果可以,我真想向他们收取费用,以弥补这种平白浪费我们时间的行为。”
无独有偶,Python开发团队也表达了对于AI生成安全漏洞报告的担忧,该团队认为这些报告极为消耗维护者的精力,毕竟从表面上看其内容似乎煞有介事,必须经过专业审查才能确认真实性。并且由于安全漏洞报告的保密性质,被迫在虚假报告中淘金的项目维护者,甚至无法寻求社区的帮助。
由于世界上不存在没有BUG的软件,所以也就使得软件开发者的一项核心工作正是修BUG。然而人力终有穷,强如苹果、谷歌这样的科技巨头,也做不到凭一己之力去发现自家软件的所有漏洞。因此“漏洞赏金计划”这个以众人拾柴火焰高为出发点的产物应运而生,几乎所有大厂都提供了类似的计划,向那些发现自家产品漏洞的人提供真金白银的奖励。
所以也诞生了一个很特别的职业“漏洞赏金猎人”,他们会利用自己掌握的技术钻研提供漏洞赏金计划的产品,以获得回报。众所周知,这些科技巨头们有钱且慷慨,他们为单个漏洞提供的奖金动辄就会达到上万美元。
比如早在2019年,专门收购和出售零日漏洞的公司Zerodium就曾宣布,为一个Android漏洞支付了高达250万美元的费用。谷歌也曾宣布在2023向“漏洞赏金猎人”发放了超过1000万美元的奖金,其中有关Android系统和应用的漏洞,赏金就高达340万美元。
毕竟财帛动人心,在生成式AI尚未诞生之时,“漏洞赏金猎人”其实是专属于网络安全专家的职业。因为“漏洞赏金猎人”不仅需要精通网络渗透、代码审计等技术,还要有钻研各种绕过安全机制的脑洞。
通常来说,有能力提供漏洞赏金计划的机构都有自己的测试团队,所以常规测试方法能找到的BUG基本就已经被自家测试团队排除了,剩下的自然就只有通过想别人想不到的事情、做别人不会做的操作才能发现。比如对于普通人来说,在面对苹果、谷歌这些巨头的产品时,也许花几年时间也找不到一个漏洞。
不仅如此,由于“漏洞赏金猎人”的主要工作是渗透软件的防护机制,所以工作思路是解构,与常规程序员以开发产品为核心的思路南辕北辙,甚至一般的程序员都编不好一份看起来没有问题的漏洞报告。
可有了生成式AI,这一切就都变得不太一样了。利用基座大模型和自动化工具,即使普通人也能打造一个漏洞识别智能体,从而实现自动化代码获取、函数解析、代码净化、运行测试和收益估算等功能。抛开让AI成为协助分析漏洞助手的正途,利用AI编纂漏洞报告的邪门招式,同样也被开发了出来。
通过专用数据集训练基座大模型以适配某个特殊场景,其实是过去两年以来,提供企业级SaaS服务的厂商一直在做的事情。那么灰产团队利用公开的漏洞报告,再搭配开源大模型,同样也能轻松训练出一个漏洞报告专用AI模型。
AI大模型编出来的漏洞报告是真的能做到形似,以至于会让提供赏金的项目方审核人员必须花时间进行代码审计和验证,才能区分出高仿和真品。这一来一回,时间和资源就都浪费了。所以如果要改变现状,直接停止提供漏洞赏金确实一针见血,可以从根源上降低收到AI编造漏洞报告的概率。
毕竟在没有提供赏金的情况下依然愿意递交漏洞的,大概率就是用爱发电了。
本文来自微信公众号“三易生活”(ID:IT-3eLife),作者:三易菌,36氪经授权发布。
