谷歌呼吁停用AI生成漏洞报告 联合科技企业推出处理扶持方案

近日，谷歌漏洞奖励计划团队公开呼吁开发者停止直接使用AI生成提交漏洞报告。据该团队监测，当前其平台收到的AI生成漏洞报告占比已达37%，其中近6成存在误报、复现步骤缺失等问题。同时谷歌联合OpenAI、DeepSeek等多家AI厂商，推出总额超1200万美元的漏洞处理扶持资金，优化报告审核及落地流程。

上周，谷歌漏洞奖励计划（VRP）负责人克里斯·埃文斯在官方博客发布公开信，首次明确提出平台对AI生成漏洞报告的限制规则。此前不少白帽开发者为了提高提交效率，会直接将大语言模型输出的漏洞分析内容不加核验提交，已经对平台的正常运行造成了明显影响。

根据谷歌VRP团队的统计，2024年上半年平台收到的漏洞报告总量同比上涨120%，其中37%为AI生成内容，这些报告中近6成要么是把公开披露过的历史漏洞改头换面重复提交，要么是缺少复现路径、危害描述不符合实际，甚至有不少是AI虚构的不存在的漏洞。

过去6个月，谷歌审核团队花在筛选无效AI报告上的时间同比增加了210%，直接导致高危漏洞的平均处理时长从原来的24小时拉长到47小时，去年底曝出的安卓内核高危提权漏洞，就曾因为审核队列积压了上千份无效AI报告，延迟72小时才完成修复推送，险些引发大规模供应链攻击风险。

针对这一情况，谷歌并非一刀切禁止AI在漏洞挖掘领域的使用，而是明确划定了使用边界：开发者可以用大语言模型做漏洞特征分析、payload调试等辅助工作，但提交的报告核心内容必须经过人工核验，不得直接上传AI生成的完整内容。