去年11月,Wordfence开始干一件挺有意思的事——让提交漏洞的研究者自报:你用AI了吗?
第一周的数据是16%。六个月后,这个数字变成了66%。
这不是实验室预测,是真金白银的赏金项目里跑出来的真数据。
Wordfence每年给WordPress漏洞研究者发六位数的赏金(美元)。这笔钱买的不只是漏洞报告,更是防护规则——新漏洞一确认,他们的防火墙就能给全体客户上盾。现在三分之二的报告背后都有AI参与,这个比例爬升的速度,比大多数安全圈人士的直觉估计要快得多。
研究者到底用AI干什么
原文没细说具体场景,但漏洞研究的典型环节无非几样:代码审计找注入点、构造验证用例(PoC)、写报告、绕过WAF测试。
AI在这几件事里的角色不太一样。写报告和构造基础PoC属于"体力活",大语言模型(LLM)现在确实能代劳大部分。但真正的价值可能在代码审计——让AI先过一遍海量插件代码,标出可疑模式,人类研究者再聚焦深挖。
Wordfence的数据是"used AI in some form",范围很宽。可能是全程主导,也可能是辅助查文档。但66%的自报率说明一件事:用AI已经不新鲜,不用反而需要特意说明。
赏金项目的微妙变化
这里有个反直觉的点。bug bounty的核心竞争力是"第一个发现",赏金往往按提交顺序递减。AI提速意味着竞争更卷,但Wordfence没提到赏金总额或单价的变化。
他们的逻辑是另一套:更多漏洞被更快发现→防护规则更快上线→客户更安全。AI在这里是放大器,不是替代者。毕竟最终确认漏洞、写防护规则的还是人——至少目前如此。
创始人Mark Maunder没对66%这个数字做解读,只是公布了追踪结果。这种克制挺有意思。换成某些厂商,可能早就发新闻稿说"AI重塑安全研究"了。
WordPress生态的特殊性
WordPress插件库有六万多个扩展,代码质量参差不齐。这是AI辅助审计的理想场景:规则明确、代码量大、历史漏洞模式可学习。换成闭源商业软件,同样的方法可能碰壁。
Wordfence的数据只覆盖自家赏金项目,但WordPress占了全网四成网站。这个66%的渗透率,某种程度上是开源代码安全研究的先行指标。
一个细节:他们的追踪从"late November 2025"开始。等等,2025年11月还没到。原文应该是笔误,实际应为2024年。但数据本身的时间跨度是明确的——六个月,从16%到66%。
如果明年这个时候再看,自报率会摸到90%吗?以及,当AI参与成为默认设置,"人类独立发现"会不会变成需要额外标注的稀有事件?
热门跟贴