这就是他们告诉我漏洞赏金终结的方式

很快，AI代理将能够找出任何应用程序中的所有漏洞。或者至少他们是这么说的。

我们将不再需要人类黑客，因为黑客机器人会立即发现并报告所有问题。

这就是他们告诉我漏洞赏金终结的方式。

…

我不相信这种说法。

它不会轰轰烈烈地结束。

不会有黑客的大规模出走。

不会有漏洞赏金传奇的盛大告别。

这将是一个缓慢的交接过程。

首先，一些漏洞类别将变得更难发现。然后一两个类别会被"解决"。最终，这开始感觉像是一场无望的战斗，对抗那些永不睡觉、永不进食、永远不会失去上下文或专注力的机器幽灵。

但我的真实看法是：这不会是一场葬礼。这将是系统和人员的缓慢转型。

渐进式变革

人们普遍误解，认为漏洞赏金的自动化会一下子到来，就像开关从关到开。事实不会如此。几乎所有变革性的事情都不会这样发生。

大多数事情都是渐进的。变化是多样的。它们从小处开始。

今天的黑客机器人（如Xbow、Ethiack等）可能只能在一个加固的实时生产应用程序上找到1%的漏洞。而且它们大多是简单的、单步的、易于验证的漏洞。但这个数字会增长。缓慢地增长，然后对某些漏洞来说会突然增长。

2%变成3%。

3%变成4%。

当公司找到特定技术或针对特定漏洞类别的方法时，可能会出现大的飞跃。

这是我称之为黑客机器人奇点的早期阶段。这是经济性翻转的时刻。这是运行黑客机器人的成本低于其获得的赏金的时刻。

当这种情况发生时呢？

他们不会只运行一个机器人。

他们会尽可能多地运行。

为什么不呢？

他们将在所有现有的公共和私人漏洞赏金计划中收集漏洞。不这样做才疯了。

时间表

很多人认为这种转变还需要数年时间。

我不这么认为。

我认为到今年年底，我们将达到人机协作的黑客机器人奇点。我不是指完全的黑客机器人奇点。不是具有黑客超级智能的系统。只是一个高度能力的AI代理与智能操作员（现有黑客）的结合。

一个优秀的黑客和一个黑客机器人系统协同工作，将能够超越几乎所有人（从数量角度）。

一旦这个系统运作起来，它当然会快速扩展。

我认为第一个做好这一点的团队今年将在各个计划中报告超过500个真实漏洞。当这种情况发生时，我认为会让很多人感到沮丧。我个人仍然乐观。让我告诉你为什么。

为什么我仍然乐观

在我分享为什么对黑客乐观之前，让我先说说为什么我对系统乐观。应用程序中理想的漏洞数量是零。理想的"必要测试人员"数量是零。在完美世界中，一切都应该是100%安全的。这与Daniel Miessler说公司理想员工数量是零的观点非常相似。

黑客机器人的进展是朝着这个方向迈出的一大步。

至于猎手，短期和中期内，对有才华的黑客的需求将会激增。

为什么？

因为AI已经创造（并将继续创造）大量新代码。新功能。新端点。新的攻击面。

即使黑客机器人拿走了低垂的果实，中等难度果实的数量仍在继续增加。

公司将需要帮助来跟上进度。

他们会雇佣赏金猎人作为测试员。作为合作伙伴。作为他们黑客机器人的副驾驶。他们将需要我们的创造力、我们的毅力、我们精炼的技能组合。黑客机器人将能够闭环处理某些特定漏洞，但对于其他漏洞，他们确实需要人类来完成线索或验证漏洞。

也许更重要的是，世界仍然需要人类来处理复杂漏洞。奇怪的漏洞。那些需要尝试真正离奇的方法或某些深奥知识的漏洞。

其他黑客呢？

那么其他人呢？那些没有进入前10%的黑客呢？

他们也会没事的。实际上，我认为会比没事更好。

如果你在漏洞赏金方面还算不错，你已经是一种罕见的人了。

你富有创造力。自我激励。好奇心强。并且愿意在某件事上碰壁直到你解决它。

像这样的人无论如何都会找到边缘并加以利用。这就是他们做的事。

也许有些人会引导AI黑客代理。

也许有些人会构建安全工具或创办安全初创公司。

也许有些人会转向健身、直播或职业游戏。

也许有些人会在新类别中成为小众影响者。

漏洞猎人不是轻易放弃的人。

如果经济发生很大变化，他们会随之变化。

也许不会进入同一类别，但带着同样的毅力。

那么，漏洞赏金死了吗？

还没有。

今天还没有。

但有一天？是的…我们所知的漏洞赏金可能会消亡。

但是黑客的思维方式、方法、理解事物工作原理并破解它们的动力？

这些会延续下去。这些会永远繁荣。

而我们会在那里。

利用系统。

一如既往。

这不是结束。

这只是下一个版本。

• Joseph