AI始め“羊毛掘り”を始める：Node.jsは偽の脆弱性報告により賞金停止を余儀なくされる

AIはコードを書き、コードを審査できるだけでなく、今や脆弱性報告も偽造できる。
4月13日、HackerOneは正式に14年間運営してきた「インターネット脆弱性賞金プログラム」（IBB）を停止し、新たな脆弱性提出を受け付けなくなった。
表向きの理由はプラットフォームの戦略調整だが、実際の理由は一つだけ：AI生成の偽の脆弱性報告に運営者が圧倒されたからだ。
HackerOneの公式声明は次の通り：「AIツールにより脆弱性発見の速度は修復速度を大きく上回り、プラットフォームは低品質、誤報、さらには偽造された報告で溢れかえった。オープンソースコミュニティのバランスが完全に崩壊した。」
そして最も影響を受けたのはNode.jsだ。
Node.jsの公式はその後のアナウンスで、「HackerOneの賞金プログラム停止に伴い、脆弱性報告者への報酬も停止する」と発表した。
純粋にコミュニティ志願者によって運営されるオープンソースプロジェクトであるNode.jsは、賞金プールを維持する独立した予算を持たず、外部資金源が途絶えれば賞金はゼロになる。
実際、HackerOneが正式に停止する前に、Node.jsはすでに一度調整を余儀なくされていた。
セキュリティ企業Socketは指摘している。
「Node.jsは以前、大幅に提出基準を引き上げたが、それでもAIツールの洪水的な攻撃を防げなかった。報告を受けるたびに志願のメンテナは多大な労力をかけて検証しなければならず、その九割はAIによる偽造だった。」
さらに、Node.jsだけが最初に倒れたわけではない。
今年1月、cURLの創始者Daniel Stenbergは、脆弱性賞金プログラムを終了すると発表した。その理由も全く同じだ。
「一週間で16時間の間にAI生成の“偽脆弱性報告”が7通も届いた。表面上は言語も構造も整っているが、人工検証の結果すべてゴミだった。彼はこれらを『AI Slop』と呼んでいる——見た目は合理的だが実際には無効な冗長なゴミだ。」
この出来事の荒唐無稽さは、脆弱性賞金制度の本来の目的は高品質なセキュリティ研究に真金をもって奨励することだったのに、AIによって「報告提出」のハードルがゼロになったことだ。
AIはコードベースを一巡し、自動的に何十通もの見た目だけはそれらしく見える報告を生成し、目を閉じて提出すれば、ひとつでも当たれば儲かる仕組みだ。
メンテナはゴミ報告に埋もれ、真の脆弱性を審査する時間もなくなる。$ETH
{spot}(ETHUSDT)