关于AI和安全的一个想法
我观察到,在行业中的一个问题(或者现象)是,漏洞————尤其是高质量漏洞————的产出不足,从而没有人关心漏洞的评价标准,难以为漏洞估值;这一情况,再加上安全行业与生俱来的道德属性,导致安全市场是畸形的、不能形成充分磋商的市场,进而导致种种乱象。
很高兴看到AI能有拉低漏洞产出、利用和修复门槛的趋势。虽然我也不想看到exp满天飞、终端用户利益受损的场景,但没办法,市场会为价格错配找到自己的出路。
我观察到,在行业中的一个问题(或者现象)是,漏洞————尤其是高质量漏洞————的产出不足,从而没有人关心漏洞的评价标准,难以为漏洞估值;这一情况,再加上安全行业与生俱来的道德属性,导致安全市场是畸形的、不能形成充分磋商的市场,进而导致种种乱象。
很高兴看到AI能有拉低漏洞产出、利用和修复门槛的趋势。虽然我也不想看到exp满天飞、终端用户利益受损的场景,但没办法,市场会为价格错配找到自己的出路。