AI 驅動漏洞賞金激增，但「Slop」威脅亦隨之增加

漏洞賞金產業目前正面臨「豐饒悖論」。隨著生成式 AI 工具的擴散，漏洞報告數量正刷新歷史新高，但與此同時，低價值的「Slop」數據亦大幅增加，威脅著安全團隊。這種現象導致安全專家在識別有效威脅時所需投入的成本與時間大幅增加。

漏洞賞金行業正面臨豐饒悖論。AI 工具將提交量推向歷史新高，但同時也引發了「Slop」洪流，威脅要讓安全團隊淹沒在低價值的雜訊中。

根據全球最大的漏洞賞金平台之一 HackerOne 的數據，2025 年有效的賞金提交件數達到 85,000 件。這比前一年（2024 年）的 79,439 件增長了約 7%。分析指出，這種增長主要歸因於利用 AI 的漏洞探測工具之普及，顯示市場規模正以空前速度擴張。

AI 樂觀主義的擴散與認知的轉變

Bugcrowd 的報告顯示了黑客對 AI 的認知發生了多麼劇烈的變化。2023 年，僅有 21% 的黑客相信 AI 在黑客攻擊中的價值會增加，但到了 2024 年，這一比例飆升至 71%。這表明安全研究人員將 AI 整合到工作流程中的速度非常快。

• 未經證實的 SSL/TLS 加密相關報告
• 缺乏可執行概念驗證 (PoC) 的 HTTP 標頭缺失報告
• 簡單的伺服器錯誤訊息列表
• 與垃圾郵件協議相關的攻擊嘗試

在安全行業中，「Slop」是指由 AI 生成的低質量安全報告，這是導致信噪比（signal-to-noise ratio）惡化的主因。許多 AI 生成的報告僅列出理論上的漏洞，而缺乏實際可行的概念驗證（PoC），導致安全團隊耗費大量資源進行逐一審查與篩選。這最終產生了減慢處理有效漏洞速度的副作用。

然而，AI 的速度並未能完全取代人類的創造力。根據 Bugcrowd 的調查，僅有 22% 的受訪者認為 AI 的表現優於人類黑客，而相信 AI 能複製人類創造力的比例也僅維持在 30% 左右。這意味著在複雜且具獨創性的漏洞探測領域，人類智慧仍發揮著核心作用。

根據 Imperva 的分析，AI 的引入反而在悖論上導致每個被發現的漏洞需要更多的安全工程師。這是因為在對 AI 生成的結果進行重現（Reproduction）和影響評估（Impact assessment）的過程中，人類的介入是必不可少的。企業現在必須為 AI 輔助的紅隊運作及處理發現項目的專用流程分配額外預算。

為了應對這些挑戰，各平台正嘗試利用 AI 來過濾 AI 產生的雜訊，進行「防禦性演進」。微軟研究人員提出了一個名為「Triangle」的框架，利用多個 LLM 代理來自動化事故分類（Triage）。這被解釋為試圖在分類階段引入先進的自動化工具，以管理激增的報告量。

歸根結底，生成式 AI 為漏洞賞金生態系統帶來了量化擴張與質素下降這把雙刃劍。安全專家強調，與其盲目信任 AI 生成的政策或報告，不如在生成與執行之間建立嚴格驗證層的新信任模型。尋找人類創造力與 AI 效率之間的平衡點，將成為未來安全市場的核心課題。