AI安全公司Anthropic最近有点尴尬。它推出的漏洞赏金计划被自家研究人员发现存在严重漏洞——这个计划本身,成了一个"神话"。

事情是这样的。Anthropic在HackerOne平台上运营着一个漏洞赏金项目,邀请外部安全研究人员寻找其系统中的安全问题。按常理,这种计划应该能及时发现并修复漏洞。但实际情况是,研究人员提交的有效漏洞报告被搁置数月,有些甚至完全得不到回应。

打开网易新闻 查看精彩图片

更讽刺的是,指出这个问题的不是别人,正是Anthropic自己的员工。他们在内部测试中发现,这个本应保护公司安全的机制,反而成了安全流程的瓶颈。漏洞报告的平均响应时间远超行业标准,部分高危漏洞的处理延迟让内部团队都感到不安。

这个案例暴露了一个常见困境:安全基础设施的建设速度,往往跟不上业务扩张的节奏。Anthropic作为AI安全领域的明星公司,其技术产品备受瞩目,但运营层面的安全流程却显得捉襟见肘。

目前Anthropic尚未公开回应该漏洞赏金计划的具体整改时间表。对于依赖外部白帽黑客社区的安全策略而言,响应效率本身就是安全性的重要组成部分——这一点,或许比发现漏洞更需要优先解决。