2026 年 5 月 18 日，HackerOne 旗下 Internet Bug Bounty（下称 IBB）的赏金表出现大幅调整。IBB 的关键漏洞奖励从 9,250 美元降至 2,257 美元，降幅 75.6%；高严重度漏洞从 4,429 美元降至 1,009 美元，降幅 77.2%；中等严重度漏洞从 1,843 美元降至 297 美元，降幅 83.9%；低严重度漏洞从 597 美元降至 68 美元，降幅 88.6%。IBB 目前仍处于暂停状态，不接受新提交。

这不是孤立的价格调整，而是开源漏洞赏金经济模型在 AI 辅助漏洞发现冲击下出现结构性失衡的标志性事件。核心变化不是「漏洞不重要了」，而是传统赏金模型中被定价的稀缺环节正在转移：过去稀缺的是「发现」；现在 AI 辅助工具让「发现疑似漏洞」的边际成本显著下降，而验证影响、去重、判断安全边界、协调披露、推动修复这些环节仍高度依赖人工。HackerOne 在 IBB 暂停说明中也承认，AI 辅助研究正在扩大漏洞发现范围并提高速度，开源生态中「发现」与「修复能力」之间的平衡已经发生实质性偏移。

一、漏洞赏金被降低的具体程度（国内会跟进吗？🐶）

比对 IBB 新旧赏金表后给出的变化如下：

这个价格曲线值得注意。越低严重度，降幅越大。如果只是赞助商资金池按比例减少，理论上更容易出现接近等比的下调；实际结果却是低严重度漏洞几乎被压到不具备经济吸引力的水平，而关键漏洞保留了相对更高的比例。

HackerOne 可能在用价格信号压低低、中严重度漏洞的提交流量。AI 辅助挖掘最容易批量产出的是「看似合理但需要人工验证」的低、中严重度发现；将这一档压到低收益，可以降低平台和维护者的分诊压力。

二、对决策者的可操作含义

1. 对开源项目维护者

不要假设公开众筹赏金池会自然恢复。未来 6 个月内，应盘点自身项目是否依赖 IBB、HackerOne 公共项目或类似外部池化资金。如果依赖，应同时准备三条路径：基金会直管赏金、厂商直接赞助、无赏金但规则清晰的负责任披露通道。

更重要的是，维护者应把 AI 辅助报告规则写清楚：是否接受 AI 辅助发现、是否要求复现步骤、是否必须说明真实安全影响、是否接受未经验证的批量报告、是否鼓励附带补丁。Linux 的最新处理方向已经给出一个信号：AI 发现的问题不应默认进入私有安全列表，提交者必须提供超出 AI 输出本身的价值。

2. 对企业 CISO / 安全负责人

如果企业把第三方公开赏金平台当作外部安全发现的「兜底渠道」，需要重新评估该渠道的稳定性。公开赏金池的暂停和降价会改变研究员行为，进而影响企业收到高质量披露的概率。

企业更稳妥的做法是保留清晰的漏洞披露计划，同时对高价值资产配置私有赏金或定向研究计划。AI 时代的关键不是收到更多报告，而是缩短从有效报告到修复落地的时间。

3. 对个人安全研究员

公开众筹型赏金的回报曲线已经发生变化。偏「广撒网」的批量提交策略会遇到更低单价、更强去重、更高拒收概率；偏「窄而深」的研究策略仍然有价值，但更适合进入规则明确、预算清晰、范围稳定的厂商直连或私有赏金路径，例如 MSRC、Google VRP、Apple Security Bounty、ZDI，或平台上的邀请制私有项目。

研究员需要把「验证质量」当成新的竞争优势。只报告「我发现了一个可能的问题」会越来越不值钱；能证明「这个问题真实可利用、影响边界清楚、重复概率低、修复建议可操作」的报告，才会在 AI 扩大供给之后保留溢价。

4. 对漏洞赏金平台

IBB 事件提出的问题不是「要不要奖励安全研究员」，而是「奖励什么」。如果平台继续主要奖励发现数量和严重度，就会鼓励发现侧继续扩张，而把验证、修复、协调成本留给维护者和分诊团队。

下一代赏金模型更可能向补救优先转移：奖励复现、去重、影响确认、补丁质量、回归测试和修复协作。平台需要把「找到问题」与「让问题被安全修复」拆开定价，否则 AI 会继续放大发现侧流量，直到维护者和资金池先崩溃。

文章来自：51CTO