AI 掀漏洞回報潮：加密貨幣專案遭「假漏洞」淹沒，關鍵風險反更難辨識

加密貨幣專案因「AI」普及，正面臨前所未有的「漏洞回報（bug bounty）」壓力。開發團隊指出，生成式 AI 降低了尋找「安全漏洞」與撰寫報告的門檻，使回報量爆炸成長，但真正具威脅性的「關鍵漏洞」反而更難從大量噪音中被辨識出來。

根據 CoinDesk 於 21 日（當地時間）的報導，「Cosmos Labs」共同執行長 Barry Plunkett 表示，「AI 正在改變『漏洞回報計畫』的運作方式。」他透露，今年 Cosmos Labs 接收到的回報數量較去年暴增約 900%，目前平均每天會收到約 20 至 50 件提交。問題在於，這些通報當中相當大一部分屬於沒有實質風險的「無效回報」，大幅增加團隊審查成本。

所謂「漏洞回報機制」，是指專案方向發現系統安全弱點的「白帽駭客」提供金錢獎勵的制度。對「加密貨幣」與去中心化金融（DeFi）領域而言，這套機制長期被視為提升「智慧合約」與「區塊鏈基礎設施」防護力的關鍵工具。不過，隨著「AI」在程式碼分析、風險描述與技術報告撰寫上的效率大幅提高，越來越多由 AI 協助生成的報告開始出現，各種不存在的風險與「幻覺式」漏洞描述也跟著湧入。

「Komodo Platform」區塊鏈開發者兼技術長（CTO）Kadan Stadelmann 指出，「低品質的漏洞回報明顯增加。」他分析，許多參與者利用 AI 代寫報告，幾乎不需投入太多時間與成本，就能大量提交疑似問題，藉此碰碰運氣爭取獎金。Stadelmann 表示，其中相當多案例接近「誤判」或根本不構成威脅，迫使團隊必須投入大量人力逐一驗證，讓原本就有限的安全審查資源進一步被稀釋。

這並非個案。開源「資料傳輸工具」curl 的創辦人 Daniel Stenberg 今年 1 月就宣布，因不堪大量 AI 生成的漏洞回報干擾，被迫關閉相關「漏洞懸賞」計畫。他形容，許多提交內容並未真正理解程式邏輯，而是由 AI 胡亂推論產生，根本無法協助改善專案安全性。另一方面，知名安全平台「HackerOne」則在今年公布數據顯示，年度有效漏洞回報約 8萬5000 件，較前一年增加約 7%，顯示整體「bug bounty」市場仍在持續擴張。

面對這波 AI 所帶來的雙面衝擊，業界開始思考將「AI」同時作為問題與解方的一部分。Plunkett 說明，Cosmos Labs 已經調整「漏洞回報」流程，優先處理來自「信譽較高研究人員」的報告，並強化評估標準與分級制度，藉此過濾掉大量品質不佳的提交。他也透露，團隊正在研究更多自動化工具，希望能在早期就將明顯不合理的報告標記出來。

Stadelmann 則強調，未來「防禦型 AI 系統」將成為關鍵，「這些系統必須能自動分析進來的回報，初步判斷風險等級並篩選出疑似『高危漏洞』，減輕人工作業負擔。」他補充指出，對於資源有限、缺乏專職安全團隊的「小型開發團隊」而言，這類 AI 工具更是維持專案安全性的關鍵生存工具。

評論

「AI」正在重新定義加密貨幣「安全生態系統」的效率與成本結構。一方面，「AI 工具」降低了技術門檻，鼓勵更多人參與「漏洞尋找」與「安全測試」，讓「bug bounty」在數量上呈現成長；另一方面，若缺乏良好的「回報篩選機制」與「風險分級流程」，安全團隊將被淹沒在大量低品質通報之中，真正致命的「關鍵漏洞」反而更容易被忽略。

對「區塊鏈」與「DeFi 專案」而言，單純追求漏洞回報數量已無法代表安全性提升。未來的重點，將轉向如何結合「AI 驅動的自動審查」、「研究者信譽評分」與「高風險案例優先處理機制」，建立一套既能鼓勵回報、又不讓審查流程變成「安全瓶頸」的制度。若做不到這點，本應是強化防禦的「漏洞回報機制」，很可能會在 AI 時代意外成為新的風險來源。