他们是这样告诉我漏洞赏金终结的

2025年6月9日

一个AI代理很快就能在任何应用中找到所有漏洞。至少他们是这么说的。 我们将不再需要人类黑客，因为黑客机器人会立即发现并报告所有问题。 他们就是这样告诉我漏洞赏金终结的。 … 但我不相信这种说法。 它不会突然终结。 不会出现黑客大规模退出。 不会有漏洞赏金传奇的盛大告别。 这将是一个缓慢的交接过程。

首先，某些漏洞类别会变得更难发现。然后一两个类别会被"解决"。最终，这会开始感觉像是一场无望的战斗，对抗机器中的幽灵——它们从不睡觉、从不进食、从不丢失上下文或注意力。

但我诚实的观点是：这不会是一场葬礼。这将是系统和人员的缓慢转型。

有个常见的误解，认为漏洞赏金的自动化会一次性到来，就像开关从关到开。但事情不会这样发展。几乎所有变革性的事情都不是这样发生的。 大多数事情都是渐进的。变化是多样的。而且从小处开始。

今天的黑客机器人（如Xbow、Ethiack等）可能只能在加固的实时生产应用中找到1%的漏洞。而且大多是简单的、单步的、容易验证的bug。但这个数字会增长。缓慢地，然后对某些漏洞突然增长。 2%变成3%。 3%变成4%。 当公司找到特定技术或针对特定漏洞类别的方法时，可能会出现大的飞跃。

这是我所谓的黑客机器人奇点的早期阶段。这是经济性翻转的时刻。这是运行黑客机器人的成本低于它获得的赏金的时刻。 当这种情况发生时？ 他们不会只运行一个机器人。 他们会运行尽可能多的机器人。 为什么不呢？ 他们会在所有现有的公共和私人漏洞赏金项目中收集漏洞。不这样做才是疯了。

很多人认为这种转变还需要多年时间。 我不这么认为。 我认为到今年年底，我们将达到人机协作的黑客机器人奇点。我不是指完全的黑客机器人奇点。不是具有黑客超级智能的系统。只是一个高度 capable 的AI代理与智能操作者（现有黑客）结合。 一个优秀的黑客和一个黑客机器人系统合作，将能够超越大多数人（从数量角度）。 一旦这个系统运作起来，当然会快速扩展。

我认为第一个做好的团队今年将在项目中报告超过500个真实bug。当这种情况发生时，我认为会让很多人感到气馁。我个人仍然乐观。让我告诉你为什么。

在我分享为什么对黑客乐观之前，让我先说说为什么对系统乐观。应用中理想的bug数量是零。“必要测试者"的理想数量是零。在完美世界中，一切都应该是100%安全的。这与Daniel Miessler说的公司理想员工数是零非常相似。 黑客机器人的进步是朝着这个方向迈出的一大步。

至于猎人，在中短期内，对有才华的黑客的需求将会激增。 为什么？ 因为AI已经创造（并将继续创造）大量新代码。新功能。新端点。新的攻击面。 即使黑客机器人摘走了低垂的果实，中等难度果实的数量仍在持续增加。 公司将需要帮助来跟上节奏。 他们会雇佣赏金猎人作为测试者。作为合作伙伴。作为他们黑客机器人的副驾驶。他们将需要我们的创造力、我们的毅力、我们精炼的技能集。黑客机器人能够闭环处理某些特定bug，但对其他bug，他们真的需要人类来完成线索或验证bug。 也许更重要的是，世界仍然需要人类来处理复杂bug。奇怪的bug。那些需要尝试真正另类的方法或某些深奥知识的bug。

那么其他人呢？那些没有进入前10%的黑客？ 他们也会没事的。实际上我认为会比没事更好。 如果你在漏洞赏金方面还算不错，你已经是一种稀有的人了。 你有创造力。自我激励。好奇。并且愿意埋头苦干直到解决问题。 像这样的人无论如何都会找到边缘并利用它们。这就是他们做的事。 也许有些人会引导AI黑客代理。 也许有些人会构建安全工具或创办安全初创公司。 也许有些人会转向健身、直播或职业游戏。 也许有些人会成为新领域的利基影响者。 漏洞猎人不是轻易放弃的人。 如果经济发生很大变化，他们会随之改变。 也许不是进入同一个类别，但带着同样的毅力。

那么，漏洞赏金死了吗？ 还没有。 不是今天。 但有一天？是的…我们所知的漏洞赏金可能会消亡。 但黑客思维、方法、理解事物工作原理并破解它们的动力？ 这些会延续下去。这些会永远繁荣。 我们会在那里。 利用系统。 一如既往。

这不是终结。 只是下一个版本。

• Joseph

注册我的邮件列表，以便在我发布更多类似内容时收到通知。 我也会在Twitter/X上分享我的想法。

相关文章

• The Real Future of Tech (2025年7月7日)
• Root for Your Friends (2025年5月13日)
• Reverse Engineering Granola to Get Notes In Obsidian (2025年5月8日)