用Claude自动找漏洞赚钱靠谱吗？一个20美元赏金实验的教训

AI 代理能不能像人类程序员一样，靠写代码赚钱？最近一位开发者用 Claude 做了一个大胆的实验：在赏金平台 HackerOne 上用 AI 自动找漏洞、自动写 PoC、自动提交赏金报告，看看能不能把 API 费用赚回来。

实验背景

HackerOne 是全球最大的漏洞赏金平台之一，企业在这里悬赏安全漏洞，白帽黑客提交报告换取赏金。开发者 elie222 在 GitHub 上开源了 bounty-claude 项目，记录了这次实验的完整过程。

实验设计

整个流程分为三步：

1. 扫描目标：用 Claude 分析 HackerOne 上赏金项目的范围、规则和历史漏洞报告
2. 漏洞发现：让 Claude 自动测试目标应用的常见漏洞点（XSS、IDOR、信息泄露等）
3. 报告撰写：自动生成结构化的漏洞报告，包含复现步骤和 PoC 代码

项目的代码是 Python 编写的，核心逻辑是把 HackerOne 的 API 和 Claude 的 API 串联起来，形成一个自动化流水线。

实验结果

这个实验最让人关注的结论是：花了约 20 美元的 API 费用，赏金收入为 0 美元。

开发者总结了几点失败原因：

• 误报率太高：Claude 报告的”漏洞”大部分是误报或已知问题，平台审核直接驳回
• 缺乏上下文理解：AI 难以判断哪些行为在目标应用的业务逻辑下才是真正的安全问题
• PoC 质量不足：自动生成的 PoC 往往过于简单，无法证明漏洞的实际影响
• 重复报告：AI 提交的报告很多是别人早就发现过的漏洞

对 AI 安全研究的启示

这个实验虽然”亏钱”了，但暴露了 AI 在安全研究领域的现状：

1. AI 擅长辅助，不擅长独立操作：Claude 可以帮助分析代码、生成报告草稿，但独立完成整个赏金猎人流程还不现实
2. 安全研究需要深度理解：漏洞发现不是模式匹配，需要理解业务逻辑、攻击链和实际影响
3. 自动化 ≠ 质量：批量提交低质量报告不仅赚不到钱，还可能被平台封号

对于想用 AI 辅助安全研究的开发者来说，更务实的方式是用 AI 做代码审计辅助、生成测试用例、撰写报告初稿，而不是完全依赖 AI 自动化整个流程。

项目地址

https://github.com/elie222/bounty-claude

项目开源，代码可以参考学习，但不建议直接用于自动化赏金提交。目前 AI 在安全研究中的最佳实践是”人机协作”，让 AI 提高效率，由人类做最终判断。

本文参考来源：elie222/bounty-claude – GitHub