GitHub宣布收紧漏洞赏金计划标准,原因是AI工具的普及导致低质量提交量激增。大量报告缺乏概念验证或明确的安全影响证明。针对低风险发现,GitHub将以周边商品替代现金奖励。GitHub强调,AI辅助研究本身仍受欢迎,但研究人员须对提交内容的准确性负责。此前,开源项目cURL已因类似问题关闭其漏洞赏金计划。GitHub同时澄清了平台安全边界的相关误区,明确提示注入攻击等通常不在赏金范围之内。
GitHub因AI工具导致低质量漏洞报告激增,决定将低安全影响报告的现金奖励改为周边礼品,并要求研究人员停止提交无实质意义的报告。GitHub高级安全研究员指出,许多报告误解了安全边界所在。此举引发业界担忧,可能影响新兴安全研究人才的成长路径。业内分析师建议,平台应引入更严格的信任控制机制和结构化漏洞提交流程以应对AI带来的挑战。