全球最大漏洞賞金平台HackerOne於3月27日宣布，暫停接受新的漏洞提交至其「Internet Bug Bounty」（IBB）開源漏洞賞金計畫。此決定立即引發業界熱議，被視為AI輔助漏洞發現快速成長後，修補能力嚴重落後的警訊。Node.js專案維護者隨後也宣布暫停自家賞金計畫，指出失去HackerOne資金支持後，志工團隊無法獨力維持。資安專家指出，AI已將漏洞發現「工業化」，但修補端仍仰賴人力與有限資源，導致「信號與雜訊」嚴重失衡。對台灣高度依賴開源軟體的科技、金融與政府單位而言，這波變化可能加劇供應鏈安全風險，企業需重新思考AI時代的漏洞管理策略。

 

HackerOne在公告中表示：「發現生態正在改變。AI輔助研究大幅擴大漏洞發現的覆蓋範圍與速度，開源專案的發現與修補能力平衡已實質改變。」該公司強調，必須重新思考眾包漏洞賞金計畫的結構與激勵機制，才能讓有意義的發現真正轉化為持久的安全改善。

 

Node.js維護團隊在公告中指出，由於失去HackerOne的資金支持，志工驅動的開源專案無法獨力負擔賞金計畫，「我們目前沒有獨立預算來維持這項計畫」。

 

Sonatype共同創辦人兼技術長Brian Fox在接受採訪時表示，AI模型在軟體相依性推薦上常產生幻覺或錯誤建議，已成為企業累積技術債務的主要來源。「最危險的不是明顯錯誤，而是看似合理、卻保留風險、錯過最佳升級路徑的建議。它看起來夠接近，就容易被直接上線。」

 

SOCRadar首席資訊安全長Ensar Seker認為HackerOne的決定是「理性且早就該做的修正」。「AI已將發現工業化，但修補能力並未同步擴展。開源維護者多為志工或小團隊，面對數千份AI生成報告時，極易陷入『分類疲勞』（triage fatigue）。」他指出，目前賞金模式鼓勵數量而非深度，等於讓無償勞力成為全球自動化掃描器的免費品管部門。

 

Minimus共同創辦人兼技術長John Morello指出，AI生成「垃圾」（slop）導致有效提交比例從原本約15%降至低於5%。「AI輔助獵捕並未找到更多關鍵零日漏洞，反而將瓶頸完全轉移到驗證階段，迫使分類團隊耗費大量時間處理看似合理但實際無法利用的報告。」

 

Bugcrowd首席策略與信任長Trey Ford將此視為產業警鐘：「我們花了多年時間優化管線的錯誤一端。AI已成功壓縮發現時間，但人類端——維護者在一個週末要處理40份有效報告——仍未解決。」他預測，下一代漏洞賞金計畫可能會獎勵「帶來修補」的報告，而非僅僅發現漏洞，並建立共享資金池同時支持研究者與維護者。

 

FusionAuth產品副總裁David Hayes也指出，現行賞金模式已不可持續。「賞金原本設計用來解決發現瓶頸，但現在發現已被AI自動化，瓶頸轉移到修補，而賞金並未資助修補。支撐關鍵網路基礎設施的開源專案，不能永遠靠志工處理AI生成報告。」

 

Sonatype在2026年《軟體供應鏈狀態報告》中警告，AI模型在相依性決策上的失誤，正悄然成為開發常態。若未導入即時情報接地（grounding）機制與嚴格人工審核，企業將持續累積技術債務與安全風險。

對台灣的影響尤其值得關注。台灣擁有全球最活躍的開源貢獻社群與科技新創，許多企業與政府系統高度依賴Node.js、GitHub Actions與各種開源元件。若HackerOne與Node.js等計畫持續暫停，台灣開發者將面臨更多未修補漏洞累積的風險。近期台灣已多次傳出供應鏈攻擊與開源元件漏洞事件，AI加速發現卻未同步強化修補能力的現象，可能進一步放大國家整體資安暴露面。

 

台灣資安專家建議企業與開發團隊立即採取以下因應措施：

 

HackerOne表示，將與專案維護者和研究人員合作，評估新模式，讓有意義的發現能真正帶來持久的安全改善。Bugcrowd的Ford總結：「我們需要以同樣迫切的心情投資修補能力，就像過去投資發現能力一樣。否則，AI帶來的發現洪流，只會淹沒本已脆弱的開源生態。」

 

在AI快速改變漏洞發現遊戲規則的2026年，台灣企業不能再將修補視為例行公事。唯有同步強化發現後的驗證與修補流程，才能避免技術債務與安全風險失控。資安已不再只是技術問題，更是資源分配與流程優化的戰略議題。

 

 

出處： 基於Dark Reading文章《AI-Led Remediation Crisis Prompts HackerOne to Pause Bug Bounties》，作者Jai Vijayan，發布日期2026年4月9日；並參考Sonatype 2026《軟體供應鏈狀態報告》、HackerOne官方公告、Node.js維護團隊聲明，以及SOCRadar、Minimus、Bugcrowd、FusionAuth專家評論。