漏洞众测平台 Bugcrowd 分析了该平台上近1300份调研问卷和采访，发布2024年度《走进黑客内心 (Inside the Mind of a Hacker)》报告，探讨剖析了所看到的黑客社区变化趋势，如对生成式AI的使用和对硬件的hacking。报告提到，“黑客”的定义已被滥用，黑帽白帽都在用。Bugcrowd 在报告中将其定义为“道德黑客”、“白帽黑客”和“安全研究员”。

报告共分四部分：黑客人口统计学、hacking动机、硬件hacking以及黑客和AI。本文将编译简述其中的主要内容。

01

      黑客的一天

A Day in  the Life of a Hacker

如今的黑客群体并不单一，其背景、经历和踏入网络安全之路的方法各不相同。有的是全职，有的是周末战士，试图平衡本职工作和猎洞爱好。他们的工作习惯、教育背景和进入行业的方式大不相同。这些让我们知道，网络安全的人为因素和其技术本身一样重要。

基本信息

75%的黑客讲2到3种语言；95%的黑客是男性，4%的是女性；黑客分布的十大国家是印度、孟加拉、美国、巴基斯坦、尼泊尔、埃及、尼日利亚、英国、越南和澳大利亚；56%的黑客年龄是18-24岁，32%的人是25-34岁，由此看出90%的黑客是Z世代或千禧一代。

全天候hacking

在受访者中，近一般的黑客一周花费不到14个小时的时间hacking，超过40%的黑客一周花费时间不到40%。黑客将hacking更多当作马拉松，而非冲刺。

双面生活

黑客的主业横跨多个行业，他们所在的十大行业是：hacking 和安全研究，信息和web应用安全，建筑和工程，教育、培训和图书馆管理，商业和金融运营，安装、维护和修理，办公室和行政支持，销售或业务开发，艺术、涉及、娱乐、体育和媒体，医疗和技工。有的黑客主业真的可能是发射火箭的！

仅有37%的黑客是全职性质，其他人可能是你的同事、邻居甚至是咖啡馆服务员。

以自己想要的方式hack

超过三分之一的黑客将爱好转为了全职，另外三分之一的人正在从兼职努力转向全职。不管是职业、副业还是爱好，似乎每个人都有一个黑客身份。

教我如何当黑客

87%的人通过网络资源掌握黑客技能。不过学习不止步于网络教程。78%的黑客以自学为傲，不过也有35%的人表示朋友或导师是自己入行的领路人。尽管如此，也不能忽视科班教育。近三分之一的黑客从院校获得黑客技能。近四分之三的黑客至少拥有本科学历。

02

        Hacking 之心

The Heart of Hacking

选择成为黑客受个人和利他因素推动。当然赚钱是其中一个好处，但黑客们热爱为数字化世界做出贡献，保护个体和组织机构免遭威胁，而且利他因素的比例不断上升。他们确实要养家糊口，但同时对学习、解决问题和保护互联网安全饱含热情。Hacking 不止在于钱，也在于个人和专业成长。

黑客社区充满等待被释放的潜能。虽然黑客希望更深入工作，但却因漏洞计划有限、兴趣不匹配和缺少相关技术而望洋兴叹。不过91%的黑客表示自己目前掌握了比之前更强大的工具。十大阻碍因素如下，依次为非公开计划邀请不足、范围不够、与自己的兴趣不匹配、不具备所需物理技术、计划所有者或品牌不响应、激励不足、无安全港、以上均不是、其它。

当提到是否因为公司缺少漏洞报送的清晰路径而担心引起法律后果，因此避免披露漏洞时，52%的人给出了肯定答复。组织机构如果能够制定更加友好的策略，那么收到的安全信息会翻一番。毕竟，73%的黑客发现了比去年数量多的漏洞。

为何成为黑客？

58%的黑客是为企业减少数据泄露和声誉风险，其它理由依次是为了赚钱、为消费者创造更安全的互联网以及与安全社区建立关系和网络。57%的黑客认为获得建设性反馈“极其重要”，54%的黑客认为教给别人安全最佳实践“极其重要”，而47%的黑客认为构建长期关系“极其重要”。

Hacking 不仅仅是一个一个任务，如今黑客是致力于共同利益的活跃社区成员。高达82%的黑客致力于与企业和漏洞奖励计划所有者建立长久关系，创造可持续的防御措施。黑客社区的核心是知识分享。85%的黑客致力于为他人传播知识。这种“一荣俱荣”的心态增强了我们的整体数字化安全。导师精神也非常强大。黑客并非守门员，而是邀请他人加入。81%的黑客指引并与业内人员共事。如今，黑客们不止在构建安全系统，还在创建一种动态化的协作社区，他们在重新定义网络安全。结合个人专业和群体努力，构建更安全的数字化世界。

报告还列出了Bugcrowd 平台激励后辈的一些明星黑客们。

03

        硬件hacking

Hardware Hacking

硬件hacking曾经是小众细分领域，如今它正在加速扩张。别忘了，在分布式计算世界中，云是由钢铁制造的。现在存在一种趋势，对硬件hacking 进行了过度简化，人们以为物理访问权限让hacking 变得更加容易，或者认为远程攻击是不可能的。但实际上硬件hacking远比这些场景复杂得多，这些错误认知会造成损害，因为威胁行动者将会利用他们能找到的每一个硬件漏洞。

硬件hacking基础

从根本上来讲，硬件hacking 利用的是电子设备物理组件而非仅仅是其软件中的漏洞，目的通常是为了绕过防御措施、窃取数据或获得设计以外的控制权限。如果黑客找到利用物理硬件的方式，那么无论多么复杂的软件漏洞都是徒劳无功的。

Hacking 工具的民主化

很多人以为硬件hacking要求价格高昂的特定设备或者太复杂了，只有高级技术专家才能上手。这种想法已经过时了，当然一些极其昂贵的工具可以让工作变得更轻松，但很少是必需品。如今，所需工具的价格变得可承受且资源的获取也越来越容易。比如，安全研究员 Lennert Wouters 仅用售价25美元的自制设备就黑入了星链卫星。和所有Hacking 形式一样，创意和解决问题的方法也历经更迭。

并没有那么智能的设备

随着世界的互联性日渐增强和越来越多的智能设备连接到互联网，它所带来的安全风险也呈指数级增长。被攻破的智能设备会给实际生活带来影响。如智能微波炉中的一个漏洞可导致攻击者远程激活设备，制造重大安全风险。二硬件an去漏洞不止存在于厨房工具中。医疗领域所用的智能设备如遭攻击，则会带来致命危险。

AI的力量

AI 正在改变安全行业，硬件也不例外。AI让工具变得更强大，极大增强了测信道攻击的效率。如AI算法课执行复杂分析，识别人类可能错过的行为模式，还能快速处理和适应复杂模式，解决与默认注入技术相关的问题。AI还能扩大黑客访问系统的范围和速度，通过自动化和平行化攻击的能力在多款设备中发动同步攻击。在不远的未来，AI可能会仅通过互联网连接就黑掉所有类型的互联设备。AI也会对物理安全带来威胁。AI能够分析大量数据，创建令人信服的虚假身份并配以真实的凭据和背景信息，从而获得受限区域的访问权限，进而攻陷系统或安装后门，实施监控、破坏服务等。我们将看到人们对于硬件和软件的交叉安全越发关注，意识到漏洞通常位于二者的集成中。

量化的硬件hacking

80%的硬件黑客自学成才，他们通常从微控制器、切面包板、电压表、逻辑分析器和数据包嗅探器入手。83%的硬件黑客对于攻破基于AI的硬件和软件有信信心，其中三分之一的黑客认为硬件hacking 是最具价值的特长之一。82%的硬件黑客的动力与金钱无关，仅有18%的硬件黑客为钱而来，31%为个人发展，18%为爱而来，11%为挑战而来。

易受攻击硬件的现状

81%的硬件黑客遇到了一个此前12个月未发现的新漏洞；64%的硬件黑客认为当前要比一年前的漏洞更多。

如下是最易受AI攻击的五大硬件和固件类型：

67%的硬件黑客表示不报送漏洞的原因在于没有清晰的报送路径；57%的硬件黑客认为响应团队是未来参与hacking的最重要因素。

04

         黑客和AI

The Three T's of AI Hacking

与2023年年初相比，黑客们对于生成式AI的使用和想法发生了哪些变化？如下是2024年和2023年他们最关心的五个问题所占比例变化：

AI hacking 中的3个“T”

去年，AI领域发生了很多变化：GPT-4、Claude 3 和无数开源模型的发布，以及图像和声音模型的出现，他们都点燃和引起了安全行业的注意和担忧。一些黑客在思考如何借助AI变成更好的黑客，而也有人在担心自己会被AI完全取代。不过所有人都认为使用AI的公司有了更多值得担心的漏洞，Bugcrowd将它们归为三个T：AI即工具 (AI as a tool)、AI即目标 (AI as a target)以及AI即威胁 (AI as a threat)。

AI即工具。86%的黑客认为AI已经从根本上改变了他们的hacking 方式，不论是变得更好还是更差。

AI 让 hacking更有趣、更有利可图或更有意思的五大方式是：重复任务自动化，把时间留给更复杂的问题；增强数据分析，获得更深洞察；触发侦查和攻击，预测弱点；开发和训练AI助手，支持工作流；以及解锁数据中的新模式和趋势。

黑客认为自己优于AI的地方有三点：第一，他们的创造性是AI所缺乏的；第二，由于AI是基于已有信息，因此黑客能够想到AI无法预测的新型攻击；第三，黑客能够跳出思维框架，是凌驾于机器学习模型和预测式AI的优势。

74%的受访者认为，AI让hacking的获得性提高。他们能够通过AI工具入行或者获得对于复杂代码或特定利用的详细解释。

AI即目标。AI系统将成为新的攻击向量。很多新的AI系统能够访问公司数据和资源，未缓解的漏洞（如提示符注入）将使威胁行动者获得访问这些资源的新方法。93%的受访者认为AI工具的使用为威胁行动者引入利用的新型攻击向量。一半(53%) 的受访者认为现有的安全解决方案能够缓解AI风险，保护AI系统安全，而首席信息安全官们对于其安全能力更有信心。这种差异是因为黑客每天都在和AI利用打交道。无论如何，黑客和首席信息安全官们都认为，多数企业并未准备好应对AI风险。

尽管基于AI的应用是相对较新的事物，但四分之三的黑客已经对自己在这个新的攻击面的猎洞能力有信心。82%的受访者认为AI威胁局势发展太快，而其安全跟不上。

AI即威胁。AI系统可为用户带来损害，如真实损害（偏见）、推断性损害（未来模型可用于制造武器）。组织机构能够广泛信任AI提供的决策和工作流吗？37%的受访者认为在某种程度上是的，但需要结合人类创造力以降低风险；45%的人认为对于低级工作如此，但对于关键应用需更加谨慎。72%的受访者认为，AI风险胜过其潜能。AI技术被滥用于削弱组织机构网络安全的五大方式是：

总言之，hacking是一个可靠的收入来源；硬件hacking正在崛起；以及AI 成为一种新常态。参加调研的受访者不仅在攻破应用、网络基础设施和硬件，他们也在修修补补。每个漏洞的暴露，都让安全团队的防线更强大。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错，就点个 “在看” 或 "赞” 吧~