HackerOne Anthropic - Bug Bounty Program | HackerOne The Anthropic Bug Bounty Program enlists the help of the hacker community at HackerOne to make Anthropic more secure. HackerOne is the #1 hacker-powered security platform, helping organizations find and fix critical vulnerabilities before they can be... The New Stack – 10 May 26 Anthropic puts the “myth” in Mythos with its HackerOne bug bounty program Anthropic has launched a public bug bounty program on HackerOne, inviting researchers to secure Claude and internal systems despite claims about its Mythos AI. Est. reading time: 6 minutes [!quote]+ 新的漏洞悬赏计划由 HackerOne 托管,允许外部研究人员报告 Anthropic 开发的软件和系统中存在的漏洞,奖励由通用漏洞评分系统(CVSS)决定,这是一个按严重程度对软件安全漏洞进行排名的行业标准框架。 事实上,此举标志着 Anthropic 早期漏洞披露工作的演变。2024年8月,该公司推出了一个更传统的漏洞披露计划(VDP),主要作为安全发现的报告和分流渠道。Anthropic 指出,今后的报告应通过更新后的系统提交。 新计划涵盖 Anthropic 拥有的广泛资产,包括 Claude.ai、Anthropic API、Claude Code、官方桌面和移动客户端、内部基础架构、SDK 以及 Anthropic 开发的 MCP 集成和 Chrome 扩展。某些类别仍被排除在外,包括影响第三方 MCP 服务器的漏洞、存档的开放源代码库、社交工程攻击和低严重性的信息发现。 2 个帖子 - 2 位参与者 阅读完整话题
多问一句,大家做开源项目的时候,发现是AP提交到PR,第一反应是什么? 6 个帖子 - 5 位参与者 阅读完整话题
IT之家 5 月 7 日消息,近年来有大量用户利用 AI 扫描项目生成漏洞报告试图“广撒网”获取赏金,然而这些报告内容大多为虚假,导致各大平台项目开发者不堪其扰,例如此前 Node.js 、cURL 等项目直接宣布暂停安全赏金。 而如今谷歌也为此调整了“Android 与 Google 设备漏洞奖励计划(VRP)”以及“ Chrome 漏洞奖励计划(Chrome VRP)”的规则,新政策保留了“零点击漏洞利用链”“浏览器进程完整攻击链”等高等级奖励项目,但下调了部分奖金,并取消部分额外奖励机制。 在 Android 漏洞奖励方面, 谷歌仍保留最高 150 万美元(IT之家注:现汇率约合 1023.7 万元人民币)的奖金档位 ,适用于可实现零点击漏洞利用链、成功攻破 Pixel Titan M2 安全芯片并具备持久化能力的漏洞。如果同样属于零点击完整攻击链,但不具备持久化能力,最高奖金则为 75 万美元(现汇率约合 511.9 万元人民币)。 Chrome 漏洞奖励方面,研究人员如果能够在最新版操作系统与硬件环境中实现浏览器进程完整攻击链,最高可获得 25 万美元(现汇率约合 170.6 万元人民币)奖金。如果成功利用谷歌认为受到 MiraclePtr 保护的内存分配机制,还可额外获得最高 250,128 美元(现汇率约合 170.7 万元人民币)奖励。 谷歌表示, 随着 AI 与自动化工具的发展,漏洞挖掘效率已经明显提升,包括测试样例分析、修复建议生成,以及已知漏洞变种搜索等工作都变得更加容易 ,这促使其重新设计漏洞奖励计划。因此,在 Android 与 Google 设备 VRP 中,Google 将优先处理那些对用户风险更高、且不易被 AI 工具自动发现的漏洞类型。 同时,针对 Linux 内核漏洞,谷歌也调整了审核重点,更关注由公司自身维护的相关组件。如果漏洞不属于谷歌维护领域,研究人员需要额外提供能够在 Android 设备上实际利用的具体证明。 谷歌表示,虽然此次调整可能导致部分单个漏洞报告的奖金减少,但预计 2026 年整体漏洞奖励计划的奖金支出规模仍将继续增长。
OpenAI 推出 GPT-5.5 生物安全漏洞赏金计划,提供 2.5 万美元奖励 - IT之家 3 个帖子 - 3 位参与者 阅读完整话题
IT之家 4 月 26 日消息,4 月 23 日,OpenAI 启动针对 GPT-5.5 的生物安全漏洞赏金计划,邀请研究人员寻找能突破“五道生物安全挑战题”的通用越狱方法。 计划概览 测试范围:仅限 Codex Desktop 中的 GPT‑5.5 模型。 挑战任务:找出一个通用的越狱提示词,使其在干净的对话环境中成功回答全部五道生物安全问题,且不触发任何内容审核机制。 奖励: 首个通过全部五道题目的真实通用越狱方案将获得 $25,000 奖励。 对于部分成功的案例,我们将根据情况酌情发放较小金额的奖励。 时间安排:2026 年 4 月 23 日开放申请并进行滚动录取。截止日期为 6 月 22 日。测试阶段将于 2026 年 4 月 28 日开始,7 月 27 日结束。 准入机制:采取申请及邀请制。我们将向经过审核的生物安全受信红队人员名单发送邀请,并审核新申请。入选者将入驻生物安全漏洞赏金平台。 信息披露:所有提示词、模型回复、发现成果及沟通记录均受保密协议 (NDA) 约束。 IT之家注意到,OpenAI 公司 4 月 23 日推出 GPT-5.5 模型,是其迄今最智能、最直观的 AI 模型,在 Agentic Coding、计算机使用及科研领域表现卓越,相比较 GPT-5.4,在完成相同任务的情况下减少词元(Token)消耗。 相关阅读: 《 OpenAI 最智能 AI 模型:GPT-5.5 登场,Token 成本降至 1/35、每兆瓦输出提升 50 倍 》
IT之家 4 月 13 日消息,漏洞赏金平台 HackerOne 宣布,由于近年来有大量用户利用 AI 扫描提交漏洞报告,导致开源生态平衡遭打破,发现漏洞的速度赶不上修复漏洞的速度,同时也存在大量虚假漏洞报告,因此即日起平台“互联网漏洞赏金计划”(IBB)将停止接收新的漏洞提交报告,而这一变化也迅速波及多个开源项目。 Node.js 官方随后发布公告称,由于 HackerOne 相应赏金计划暂停运作,其漏洞奖励的资金来源被切断。作为一个以社区志愿者为主导的开源项目, Node.js 并没有独立预算来持续支付漏洞赏金,因此在缺乏外部资金支持的情况下,将暂停向漏洞报告者发放奖励。 不过 Node.js 强调,安全漏洞的提交流程并未发生变化,研究人员仍可通过 HackerOne 平台提交问题。项目团队仍会以同等优先级处理漏洞,相关披露政策、响应时间以及补丁发布流程均保持不变。 公开信息显示,HackerOne 的“互联网漏洞赏金计划”由多家软件公司共同出资,自 2012 年正式启动,主要为漏洞发现者提供一系列现金奖励,累计发放金额已超过 150 万美元(IT之家注:现汇率约合 1025.7 万元人民币)。 针对 Node.js 这一变化,安全公司 Socket 指出,在 HackerOne“互联网漏洞赏金计划”接停止接收新的漏洞提交报告之前, Node.js 实际上已经开始调整其漏洞赏金机制,大幅提高提交门槛,这主要是因为奖励机制吸引了大量低质量 AI 虚假漏洞报告 ,然而每逢遇到漏洞报告,开发者需要投入大量精力进行核实,给志愿维护者带来极大负担。 值得注意的是, Node.js 并非唯一受到 AI “刷漏洞”影响的项目。例如今年 1 月,cURL 也 宣布终止其漏洞赏金计划,原因同样是遭到 AI 生成的低质量漏洞报告轰炸 。