这就是他们告诉我漏洞赏金终结的方式

2025年6月9日

一个AI代理很快就能在任何应用程序中找到所有漏洞。或者他们是这么说的。 我们将不再需要人类黑客，因为黑客机器人会立即发现并报告所有问题。 这就是他们告诉我漏洞赏金终结的方式。 … 我不相信这种说法。 它不会轰轰烈烈地结束。 不会有黑客的大规模撤离。 不会有漏洞赏金传奇的盛大告别。 这将是一个缓慢的交接过程。

首先，一些漏洞类别将变得更难发现。然后一两个类别会被"解决"。最终，这将开始感觉像是一场无望的战斗，对抗机器中的幽灵，这些幽灵从不睡觉、从不进食、从不丢失上下文或焦点。 但我的真实意见是：这不会是一场葬礼。这将是系统和人员的缓慢转型。

有一个常见的误解，认为漏洞赏金的自动化会一下子到来，就像把开关从关拨到开。事实不会如此。几乎所有变革性的事情都不会这样发生。 大多数事情都是渐进的。变化是多样的。它们从小处开始。

今天的黑客机器人（如Xbow、Ethiack等）可能只能在加固的实时生产应用程序中找到1%的漏洞。而且它们主要是简单的、单步的、易于验证的错误。但这个数字将会增长。缓慢地，然后对某些漏洞来说会突然增长。 2%变成3%。 3%变成4%。 当公司找到特定技术或针对特定漏洞类别的方法时，可能会出现大的飞跃。

这是我称之为黑客机器人奇点的早期阶段。这是经济性翻转的时刻。这是运行黑客机器人的成本低于其获得的赏金的时刻。 当这种情况发生时？ 他们不会只运行一个机器人。 他们会尽可能多地运行。 为什么不呢？ 他们将在所有现有的公共和私有漏洞赏金计划中收集漏洞。不这样做才是疯了。

很多人认为这种转变还需要数年时间。 我不这么认为。 我认为到今年年底，我们将达到人机协作的黑客机器人奇点。我不是指完全的黑客机器人奇点。不是具有黑客超智能的系统。只是一个高度能力的AI代理与智能操作员（现有黑客）结合。 一个优秀的黑客和一个黑客机器人系统协同工作，将能够超越几乎所有人（从数量角度）。 一旦这个系统运作起来，它当然会快速扩展。

我认为第一个做好这件事的团队今年将在项目中报告超过500个真实漏洞。当这种情况发生时，我认为会让很多人感到气馁。我个人仍然乐观。让我告诉你原因。

在我分享为什么对黑客乐观之前，让我先说说为什么我对系统乐观。应用程序中理想的漏洞数量是零。“必需的测试人员"的理想数量是零。在完美的世界中，一切都应该是100%安全的。这与Daniel Miessler说公司理想员工数量为零非常相似。 黑客机器人的进展是朝着这个方向迈出的一大步。

至于猎人，在中短期内，对有才华的黑客的需求将会激增。 为什么？ 因为AI已经创造（并将继续创造）大量新代码。新功能。新端点。新的攻击面。 即使黑客机器人摘走了低垂的果实，中等难度果实的数量仍在继续增加。 公司将需要帮助来跟上。 他们将雇佣赏金猎人作为测试员。作为合作伙伴。作为他们黑客机器人的副驾驶。他们将需要我们的创造力、我们的毅力、我们精炼的技能集。黑客机器人将能够闭环处理某些特定漏洞，但对于其他漏洞，他们确实需要人类来完成线索或验证错误。

也许更重要的是，世界仍然需要人类来处理复杂的漏洞。奇怪的漏洞。那些需要尝试真正离奇的东西或某些深奥知识的漏洞。

那么其他人呢？那些没有进入前10%的黑客呢？ 他们也会没事的。实际上，我认为比没事更好。 如果你在漏洞赏金方面还算不错，你已经是一种罕见的人了。 你有创造力。自我激励。好奇心。愿意在某件事上撞墙直到你搞明白。 像这样的人无论如何都会找到边缘并利用它们。这就是他们做的事。 也许有些人会引导AI黑客代理。 也许有些人会构建安全工具或启动安全创业公司。 也许有些人会转向健身、直播或职业游戏。 也许有些人会成为新类别中的小众影响者。 漏洞猎人不是放弃的人。 如果经济发生很大变化，他们会随之改变。 也许不会进入同一类别，但带着同样的毅力。

那么，漏洞赏金死了吗？ 还没有。 不是今天。 但有一天？是的…我们所知的漏洞赏金可能会死亡。 但黑客的思维方式、方法、理解事物工作原理并打破它们的动力？ 这些会延续下去。这些会永远繁荣。 我们会在那里。 利用系统。 一如既往。

这不是结束。 这只是下一个版本。

• Joseph