腾讯安全应急响应中心(TSRC)重要公告
各位白帽师傅们:
感谢大家一直以来对腾讯安全建设的贡献。
随着大模型能力日益增强,利用AI工具辅助或自动化挖掘漏洞,已成为安全研究的新趋势。我们欣喜地看到,一些由AI协助发现的高质量漏洞报告,为平台带来了新的价值——但与此同时,我们也面临大量未经人工验证的无效报告,甚至是被AI“幻觉”误导而产生的误报。
为了合理分配有限的审核资源,确保审核团队能聚焦于真实有效的漏洞,同时维护良好的社区生态,现对AI辅助挖掘和生成的漏洞报告提交标准明确如下:
01 鼓励AI在安全场景的应用
腾讯安全应急响应中心(TSRC)鼓励白帽子利用AI工具辅助或自动化挖掘漏洞。AI可以成为高效探索的得力助手,帮助发现更多潜在风险。
02 AI报告须经人工验证
对于AI辅助或自动化挖掘产出的漏洞报告,提交前请务必进行人工验证。请确保您已完成对报告真实性与危害性的评估与复现,并在报告中提供人工验证结果,包括但不限于:
- 漏洞危害说明
- 详细复现步骤
- 完整的POC
- 关键步骤及结果截图
03 无效报告处置
对于直接由AI生成、未经人工复现或未提供有效验证结果截图的报告,平台将直接予以驳回,且不提供驳回原因说明。
04 多次提交无效报告的处置
- 累计提交超过3个AI生成报告且均未经人工验证有效性的白帽子,平台将予以提醒;
- 累计提交超过5个此类报告的白帽子,平台有权拉黑您的腾讯安全应急响应中心(TSRC)账号。
AI技术正在改变安全研究的方式与效率。腾讯安全应急响应中心(TSRC)希望与各位一起,在享受技术便利的同时,共同维护一个专业、高效的漏洞提交与交流环境。
技术再强大,也不能替代人的判断和责任感。AI正在深刻改变安全研究的方式与效率,但高质量的漏洞报告,始终离不开你们的专业眼光与严谨态度。
希望每一位白帽子在享受技术红利的同时,严守技术伦理,坚守质量底线,与我们共同维护一个专业、高效、可持续发展的安全生态。
感谢您一直以来对腾讯安全应急响应中心(TSRC)的支持与信任。
参与该处置公告的SRC组织:(排名不分先后)
腾讯SRC、阿里云先知平台、蚂蚁SRC、百度SRC、字节SRC、京东SRC、滴滴SRC、美团SRC、快手SRC、深信服SRC、携程SRC、顺丰SRC、度小满SRC、BOSS直聘SRC、荣耀SRC、智联招聘SRC、科大讯飞SRC、中通SRC、小红书SRC、货拉拉SRC、小拉SRC、小鹏汽车SRC、理想汽车SRC、奇富SRC、陌陌SRC、vivoSRC、360SRC、OPPO安全中心、小米安全中心、补天漏洞响应平台、360漏洞云、BUGBANK、太初众测平台
