所謂 AI 垃圾(AI slop)指由大型語言模型生成的低品質圖片、影片與文字,近兩年已滲透至網路、社群媒體、新聞甚至現實世界事件。 cybersecurity 領域亦受此影響,過去一年內,業界擔憂出現大量由 LLM 編造漏洞的 Bug Bounty 報告。RunSybil 共同創辦人兼 CTO Vlad Ionescu 指出,這些報告看似合理且技術正確,實則全是模型幻覺(hallucination)所編造的細節,導致安全團隊浪費時間查證。Ionescu 解釋,LLM 被設計為提供正面回應,若使用者請求報告,模型便會生成內容,這些內容常被複製貼上至 Bug Bounty 平臺,淹沒系統與客戶。
近期例項包括安全研究者 Harry Sintonen 揭露開源專案 Curl 收到假報告,他稱「Curl 能從遠處嗅覺到 AI 垃圾」。Open Collective 的 Benjamin Piouffle 表示其信箱亦被 AI 垃圾淹沒,而維護 CycloneDX 專案的開發者則在今年初因收到幾乎全為 AI 垃圾的報告而暫停 Bug Bounty 計畫。主要 Bug Bounty 平臺如 HackerOne 與 Bugcrowd 亦見 AI 生成報告激增。HackerOne 產品管理高階總監 Michiel Prins 指出,出現大量假陽性漏洞報告,這些低訊號提交會破壞安全專案效率,含幻覺漏洞或模糊技術內容者將被視為垃圾郵件。Bugcrowd 創辦人 Casey Ellis 表示雖有研究者使用 AI 撰寫報告,整體提交量每週增加 500 件,但低品質報告尚未顯著上升,團隊正透過人工審查、既定工作流及機器學習輔助來篩選。
TechCrunch 亦聯絡 Google、Meta、Microsoft 與 Mozilla 詢問情況。Mozilla 發言人 Damiano DeMonte 表示未見大量 AI 生成低品質報告,每月被標記為無效的報告約五至六件,低於每月報告的 10%,且員工不依賴 AI 過濾以避免誤殺真實漏洞。Microsoft 與 Meta 拒絕評論,Google 未回應。針對此問題,Ionescu 預測解決方案是投資 AI 系統進行初步篩選。HackerOne 於二日推出 Hai Triage 新系統,結合人類與 AI,利用 AI 安全代理