这就是他们告诉我漏洞赏金终结的方式

2025年6月9日

一个AI代理很快就能找到任何应用程序中的所有漏洞。至少他们是这么说的。 我们将不再需要人类黑客，因为黑客机器人会立即发现并报告所有问题。 这就是他们告诉我漏洞赏金终结的方式。 … 我不相信这种说法。 它不会轰轰烈烈地结束。 不会出现黑客大规模退出。 不会有漏洞赏金传奇的盛大告别。 这将是一个缓慢的交接过程。

首先，某些漏洞类别将变得更难发现。然后一两个类别会被"解决"。最终，这会开始感觉像是在与机器中的幽灵进行一场无望的战斗——这些幽灵从不睡觉、从不进食，也永远不会失去上下文或专注度。 但我诚实的观点是：这不会是一场葬礼。这将是系统和人员双方的缓慢转型。

人们普遍误解认为漏洞赏金的自动化会一下子到来，就像把开关从关拨到开。但事情不会这样发展。几乎所有变革性的事情都不是这样发生的。 大多数事情都是渐进的。变化是多样的。而且它们从小处开始。

今天的黑客机器人（如Xbow、Ethiack等）可能能在加固的实时生产应用程序中找到1%的漏洞。而且这些 mostly 是简单的、单步的、易于验证的漏洞。但这个数字会增长。缓慢地，然后对某些漏洞突然增长。 2%变成3%。 3%变成4%。 当公司找到特定技术或针对特定漏洞类别的方法时，可能会出现大的飞跃。

这是我所谓的黑客机器人奇点的早期阶段。这是经济性翻转的时刻。这是运行黑客机器人的成本低于它获得的赏金的时刻。 当这种情况发生时？ 他们不会只运行一个机器人。 他们会运行尽可能多的机器人。 为什么不呢？ 他们会在所有现有的公共和私人漏洞赏金项目中大量挖掘漏洞。不这样做才是疯了。

很多人认为这种转变还需要多年时间。 我不这么认为。 我认为到今年年底我们将达到人机回圈的黑客机器人奇点。我不是指完全的黑客机器人奇点。不是具有黑客超智能的系统。只是一个高度 capable 的AI代理与智能操作者（现有黑客）结合。 一个优秀的黑客和一个黑客机器人系统合作，将能够超越大多数人（从数量角度）。 一旦这个系统运作，它当然会快速扩展。

我认为第一个做好这一点的团队今年将在项目中报告超过500个真实漏洞。当这发生时，我认为这会打击很多人的积极性。我个人仍然乐观。让我告诉你为什么。

在我分享为什么对黑客乐观之前，让我先说说为什么我对系统乐观。应用程序中理想的漏洞数量是零。“必需的测试者"的理想数量是零。在完美世界中，一切都将是100%安全的。这与Daniel Miessler说的公司理想员工数是零非常相似。 黑客机器人的进展是朝着这个方向迈出的一大步。

至于猎手们，在中短期内，对有才华的黑客的需求将会激增。 为什么？ 因为AI已经创造（并将继续创造）大量新代码。新功能。新端点。新的攻击面。 即使黑客机器人拿走了低垂的果实，中等难度果实的数量仍在继续增加。 公司将需要帮助来跟上进度。 他们会雇佣赏金猎人作为测试者。作为合作伙伴。作为他们黑客机器人的副驾驶。他们将需要我们的创造力、我们的毅力、我们精炼的技能集。黑客机器人将能够闭环处理某些特定漏洞，但对其他漏洞，他们确实需要人类来完成线索或验证漏洞。 也许更重要的是，世界仍然需要人类来处理复杂漏洞。奇怪的漏洞。那些需要尝试真正另类的东西或某些深奥知识的漏洞。

那么其他人呢？那些没有进入前10%的黑客呢？ 他们也会没事的。实际上我认为会比没事更好。 如果你在漏洞赏金方面还算不错，你已经是一种罕见的人了。 你有创造力。自我激励。好奇心。并且愿意在某件事上撞到头破血流直到弄明白。 像这样的人无论如何都会找到边缘并利用它们。这就是他们做的事。 也许有些人会引导AI黑客代理。 也许有些人会构建安全工具或启动安全初创公司。 也许有些人会转向健身、流媒体或职业游戏。 也许有些人会成为新领域的利基影响者。 漏洞猎手不是会放弃的人。 如果经济发生很大变化，他们会随之改变。 也许不会进入同一个类别，但带着同样的毅力。

那么，漏洞赏金死了吗？ 还没有。 不是今天。 但有一天？是的…我们所知的漏洞赏金可能会消亡。 但黑客思维、方法、理解事物工作原理并打破它们的动力？ 这些会延续。这些会永远繁荣。 而我们会在那里。 利用系统。 一如既往。

这不是结束。 这只是下一个版本。

• Joseph

注册我的邮件列表，了解我发布更多类似内容的时间。 我也会在Twitter/X上发布我的想法。