GitHub 调整漏洞赏金计划,AI 生成干扰成行业难题

云代码仓库的安全要求

云代码仓库要求安全研究人员排除 AI 生成的干扰信息,专注于报告由其自身导致的安全问题,而非用户造成的问题。图片来源:Gil C - shutterstock.com

GitHub 调整漏洞赏金计划

面对漏洞赏金计划提交量的不断增长,GitHub 决定将低安全影响报告的现金奖励改为周边礼品奖励,并要求研究人员停止提交低质量报告或与自身无关问题的报告。由于生成式 AI 等新工具的出现,这个基于云的代码仓库平台在过去一年收到的无实际安全影响的提交数量急剧增加。GitHub 高级安全研究员 Jarom Brown 在一篇博客文章中写道:“并非每个有效的提交都代表着重大的安全风险。有些报告指出了加固机会或文档漏洞。”

此外,他还表示,GitHub 收到的许多报告描述的是超出范围的场景,即有人在与 GitHub 中的恶意内容交互后出现了“不良”后果。“这些报告通常撰写精良,观察结果在技术上也准确,但它们误解了安全边界所在。当‘攻击’需要受害者主动寻找并与攻击者控制的内容进行交互(克隆恶意仓库、让 AI 工具分析不可信代码、打开特制文件)时,安全边界在于用户是否信任该内容的决策。这些场景通常不代表绕过了 GitHub 的安全控制。”他写道。

Brown 的解释也是在提醒 GitHub 用户,公司期望他们采取措施保护自己。尽管人工智能导致漏洞报告数量激增,但 GitHub 并不希望安全研究人员停止使用它。“我们不反对研究人员使用 AI 工具。AI 是一种力量倍增器,我们预计它将在安全研究中发挥越来越重要的作用。我们在内部安全项目中使用 AI,也看到外部顶尖研究人员同样如此。我们对此表示欢迎。”Brown 写道。

但所有 AI 生成的提交必须先由人工审核和验证——这一规则适用于任何用于漏洞挖掘的工具。通过这种方式,GitHub 希望筛选出没有概念验证的报告、经不起推敲的理论攻击场景,以及其公布的不符合奖励条件的报告。

AI 生成的干扰是行业问题

GitHub 并非唯一在提交量方面面临困境的漏洞赏金提供者——尽管并非所有平台都对 AI 持欢迎态度。分析师警告称,整个行业的安全供应商、开源维护者和漏洞赏金平台越来越多地抱怨大量低质量、由 AI 辅助的漏洞报告,这些报告消耗了分析师的时间,减缓了事件响应速度,并且在日益增多的自动化干扰中更难识别真正的威胁。

开源项目 Curl 因 AI 垃圾信息取消了漏洞赏金计划,HackerOne 暂停了互联网漏洞赏金计划的支付,因为它无法处理 AI 提交。谷歌开源软件漏洞奖励计划也在限制支付。Linux 创始人 Linus Torvalds 最近警告称,大量 AI 生成的漏洞报告使得 Linux 内核安全邮件列表“几乎完全无法管理”,因为研究人员使用相同的 AI 工具发现相同的漏洞,导致大量重复报告。

切断安全人才输送渠道

Pareekh Consulting 首席分析师 Pareekh Jain 表示,GitHub 从现金支付改为赠送周边礼品可能会减少新独立研究人员的参与,他们中的许多人依靠小发现的奖励来建立信誉、提升技能并维持财务状况。HFS Research 副实践负责人 Akshat Tyagi 表示,如果越来越少的新人将漏洞赏金狩猎视为在安全社区学习、贡献和成长的可行途径,那么生态系统底层参与度的下降可能会对网络安全人才输送产生长期影响。

不过,Tyagi 指出,这一举措对有经验的研究人员可能是积极的:“减少排队干扰意味着更快的分类、更快的支付和更高的项目可信度。”

敞开大门,但并非对所有人

Greyhound Research 首席分析师 Sanchit Vir Gogia 预计,像 GitHub 这样的平台将通过在贡献工作流程中引入更明确的信任控制来应对 AI 洪流。“有些控制是可见的:权限、速率限制、模板、身份验证、信誉评分。其他控制则不太明显:排名系统、自动预分类、AI 来源信号、行为评分以及对已知优质贡献者的隐性优先级排序。”他说。

Jain 建议 GitHub 将其最近推出的 Stacked PRs 代码审查工具应用于漏洞赏金计划。“就像 Stacked PRs 帮助开发人员以更小、更结构化的方式审查 AI 生成的代码一样,漏洞赏金平台可能会引入更结构化的漏洞提交,包括自动验证、可重现的利用步骤、去重和 AI 辅助分类。”他说,“安全报告可能会更像 CI/CD 工作流程,而不是冗长的文本报告。”

内容概要:本文介绍了一种用于电磁暂态(EMT)研究的第四类全变流器型风力发电系统的通用Simulink仿真模型,旨在构建一个能够准确反映实际风电系统动态特性的简化通用模型。该模型涵盖了风力机、传动链、发电机、全功率变流器及其控制策略等关键组部分,重点突出系统在电网故障、风速波动等复杂工况下的动态响应能力,适用于风电并网电磁暂态分析、新型电力系统稳定性评估及高比例可再生能源接入场景的研究。模型设计兼顾准确性与仿真效率,便于研究人员快速搭建和调试,推动风电系统建模与控制技术的发展; 适合人群:具备一定电力系统理论基础和MATLAB/Simulink仿真能力,从事新能源发电、电力电子变换、风电并网控制及相关方向的研究生、科研人员及工程技术人员; 使用场景及目标:①开展风电系统在电网扰动下的电磁暂态仿真分析;②研究全功率变流器风电机组的动态行为与控制特性;③支撑新型电力系统中高渗透率风电接入的稳定性与电能质量评估,服务于学术研究、课程教学与工程项目前期仿真验证; 阅读建议:建议读者结合文中提供的模型结构与参数设置,在Simulink环境中动手复现并调试仿真模型,通过设置不同运行工况(如三相短路、低电压穿越、风速突变等)观察系统响应,深入理解全变流器风电机组的建模方法、控制逻辑与动态特性,进而拓展应用于更复杂的多机并网或综合能源系统仿真场景。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值