谷歌呼吁停用AI生成漏洞报告 联合科技企业推出处理扶持方案

近日，谷歌漏洞奖励计划团队公开呼吁开发者停止直接使用AI生成提交漏洞报告。据该团队监测，当前其平台收到的AI生成漏洞报告占比已达37%，其中近6成存在误报、复现步骤缺失等问题。同时谷歌联合OpenAI、DeepSeek等多家AI厂商，推出总额超1200万美元的漏洞处理扶持资金，优化报告审核及落地流程。

上周，谷歌漏洞奖励计划（VRP）负责人克里斯·埃文斯在官方博客发布公开信，首次明确提出平台对AI生成漏洞报告的限制规则。此前不少白帽开发者为了提高提交效率，会直接将大语言模型输出的漏洞分析内容不加核验提交，已经对平台的正常运行造成了明显影响。

根据谷歌VRP团队的统计，2024年上半年平台收到的漏洞报告总量同比上涨120%，其中37%为AI生成内容，这些报告中近6成要么是把公开披露过的历史漏洞改头换面重复提交，要么是缺少复现路径、危害描述不符合实际，甚至有不少是AI虚构的不存在的漏洞。

过去6个月，谷歌审核团队花在筛选无效AI报告上的时间同比增加了210%，直接导致高危漏洞的平均处理时长从原来的24小时拉长到47小时，去年底曝出的安卓内核高危提权漏洞，就曾因为审核队列积压了上千份无效AI报告，延迟72小时才完成修复推送，险些引发大规模供应链攻击风险。

针对这一情况，谷歌并非一刀切禁止AI在漏洞挖掘领域的使用，而是明确划定了使用边界：开发者可以用大语言模型做漏洞特征分析、payload调试等辅助工作，但提交的报告核心内容必须经过人工核验，不得直接上传AI生成的完整内容。

同时谷歌联合OpenAI、微软、DeepSeek等多家AI厂商共同推出了总额1200万美元的漏洞处理扶持资金，一部分用于扩充专业审核团队规模，另一部分则用于提高优质手动提交报告的奖励额度——其中远程代码执行类高危漏洞的最高奖励从原来的3万美元提升至5万美元，连续提交10份以上优质报告的开发者还能获得免费的企业级AI工具授权，用于辅助漏洞挖掘工作。

谷歌的这一倡议很快得到了全球科技行业的响应，微软安全响应中心（MSRC）、字节跳动安全中心等机构均公开表示，后续会跟进推出类似的AI生成报告核验规则。

网络安全行业专家指出，AI工具在漏洞挖掘领域的普及已经是不可逆的趋势，简单的禁止无法解决根本问题，此次谷歌牵头的调整，本质上是在厘清AI和人工在安全工作流中的边界。后续行业有望推出统一的漏洞报告标注规则，要求开发者明确标注报告中AI辅助的范围，帮助审核团队提高筛选效率，在发挥AI效率优势的同时，保障安全响应的准确性。