这就是他们告诉我漏洞赏金终结的方式

很快，AI代理就能找出任何应用中的所有漏洞。至少他们是这么说的。

我们将不再需要人类黑客，因为黑客机器人会立即发现并报告所有问题。

这就是他们告诉我漏洞赏金终结的方式。

…

我不相信这种说法。

它不会轰轰烈烈地结束。

不会有黑客的大规模撤离。

不会有漏洞赏金传奇的盛大告别。

这将是一个缓慢的交接过程。

首先，某些漏洞类别会变得更难发现。然后一两个类别会被"解决"。最终，这开始感觉像是一场无望的战斗，对抗的是机器中的幽灵——它们从不睡觉、从不进食、从不丢失上下文或注意力。

但我诚实的看法是：这不会是一场葬礼。这将是系统和人员的缓慢转型。

渐进式的变革

人们普遍误解漏洞赏金的自动化会突然到来，就像开关从关到开一样。但事情不会这样发展。几乎所有变革性的事情都不是这样发生的。

大多数事情都是渐进的。变化是多样的。而且它们从小处开始。

今天的黑客机器人（如Xbow、Ethiack等）可能只能在一个加固的实时生产应用中找到1%的漏洞。而且它们主要是简单的、单步的、易于验证的漏洞。但这个数字会增长。缓慢地增长，然后对某些漏洞来说会突然增长。

2%变成3%。

3%变成4%。

当公司发现特定技术或针对特定漏洞类别的方法时，可能会出现大的飞跃。

这是我所谓的黑客机器人奇点的早期阶段。这是经济性翻转的时刻。这是运行黑客机器人的成本低于它获得的赏金的时刻。

当那一刻到来时？

他们不会只运行一个机器人。

他们会尽可能多地运行。

为什么不呢？

他们会在所有现有的公共和私人漏洞赏金计划中批量挖掘漏洞。不这样做才是疯了。

即将到来的人机协作

很多人认为这种转变还需要多年时间。

我不这么认为。

我认为到今年年底，我们将达到人机协作的黑客机器人奇点。我指的不是完全的黑客机器人奇点。不是具有黑客超智能的系统。只是一个高能力的AI代理与智能操作员（现有黑客）的结合。

一个优秀的黑客和一个黑客机器人系统协同工作，将能够超越大多数人（从数量角度）。

一旦这个系统运作起来，它当然会快速扩展。

我认为第一个做好这件事的团队今年将在各种计划中报告超过500个真实漏洞。当这发生时，我认为会让很多人感到气馁。我个人仍然乐观。让我告诉你原因。

为什么我仍然乐观

在我分享为什么对黑客乐观之前，让我先说说为什么我对系统乐观。应用中理想的漏洞数量是零。“必要测试人员"的理想数量是零。在完美世界中，一切都应该是100%安全的。这与Daniel Miessler说的公司理想员工数是零非常相似。

黑客机器人的进展是朝着这个方向迈出的一大步。

至于猎手们，短期和中期内，对天才黑客的需求将会激增。

为什么？

因为AI已经创造（并将继续创造）大量新代码。新功能。新端点。新的攻击面。

即使黑客机器人拿走了低垂的果实，中等难度果实的数量仍在继续增加。

公司需要帮助来跟上节奏。

他们会雇佣赏金猎人作为测试员。作为合作伙伴。作为他们黑客机器人的副驾驶。他们将需要我们的创造力、我们的毅力、我们磨练的技能。黑客机器人能够闭环处理某些特定漏洞，但对于其他漏洞，他们确实需要人类来完成线索或验证漏洞。

也许更重要的是，世界仍然需要人类来处理复杂漏洞。奇怪的漏洞。那些需要尝试真正另类的方法或某些深奥知识的漏洞。

其他黑客的未来

那么其他人呢？那些没有进入前10%的黑客呢？

他们也会没事的。实际上，我认为会比没事更好。

如果你在漏洞赏金方面还算不错，你已经是一种稀有的人了。

你有创造力。自我激励。好奇。愿意埋头苦干直到解决问题。

像这样的人无论如何都会找到边缘并利用它们。这就是他们做的事。

也许有些人会引导AI黑客代理。

也许有些人会构建安全工具或创办安全初创公司。

也许有些人会转向健身、直播或职业游戏。

也许有些人会成为新领域的利基影响者。

漏洞猎人不是会放弃的人。

如果经济发生很大变化，他们会随之改变。

也许不会进入同一类别，但带着同样的毅力。

所以，漏洞赏金死了吗？

还没有。

不是今天。

但有一天？是的…我们所知的漏洞赏金可能会死。

但是黑客的思维方式、方法、理解事物工作原理并破解它们的动力呢？

这些会延续。这些会永远繁荣。

而我们会在那里。

利用系统。

一如既往。

这不是结束。

只是下一个版本。

• Joseph