微新创想:2026年4月13日,漏洞赏金平台HackerOne宣布即日起暂停其‘互联网漏洞赏金计划’(IBB)的新漏洞接收。这一决定主要是由于AI批量扫描技术的广泛应用,导致虚假漏洞报告数量激增,给平台带来了巨大的处理压力。同时,漏洞修复的滞后也影响了平台的运营效率,使得开源社区的负担进一步加重。
Node.js作为依赖HackerOne资金支持的重要项目,由于自身没有独立预算,也同步暂停了向漏洞报告者发放奖励的流程。尽管如此,Node.js仍保持原有的漏洞提交渠道、响应流程与披露政策不变,确保安全研究人员仍能通过合法途径参与漏洞发现与披露工作。
此前,多个知名开源项目如cURL也因类似问题终止了自身的漏洞赏金计划。这一趋势反映出随着自动化工具的普及,漏洞赏金平台正面临前所未有的挑战。如何在提升漏洞发现效率的同时,有效过滤虚假报告,成为行业亟待解决的问题。
面对这一变化,社区和开发者需要更加谨慎地对待漏洞报告,确保信息的真实性和有效性。同时,平台也在探索新的机制,以平衡自动化工具带来的效率提升与人工审核的必要性。未来,漏洞赏金体系可能会经历更深层次的调整与优化,以适应不断变化的技术环境。
