curl终止漏洞赏金计划:AI批量生成伪漏洞报告致人力不堪重负
来源:十三号胡同 2026-01-27 08:40:20
2026年1月26日,知名开源命令行工具及网络库curl的创始人Daniel Stenberg宣布,该项目将于本月底正式终止在HackerOne平台运行的安全漏洞悬赏计划。
长期稳定更新的攒劲资源: >>>点此立即查看<<<
这一调整源于项目团队持续受到大量低质量漏洞报告的冲击,其中绝大多数由生成式人工智能批量生成。自2019年起,curl一直通过HackerOne及Internet Bug Bounty平台开展漏洞赏金计划,对经核实并负责任披露的curl与libcurl安全问题提供现金奖励。
然而,近年来AI技术的广泛应用导致报告数量异常激增。Stenberg指出,仅一周之内,团队就在16小时内收到7个来自HackerOne的问题提交;截至1月下旬,此类报告累计已达20份。这些报告虽语言严谨、结构完整,表面具备专业性,但经人工逐一验证后发现,所描述的漏洞或根本不存在,或完全缺乏技术依据,被团队称为“AI Slop”——即看似合理实则无效的冗余内容。
此类报告不仅无法提升项目安全性,反而严重挤占有限的人力资源,迫使安全团队将大量时间用于甄别与驳回无实质价值的提交。Stenberg在公开说明中表示,暂停悬赏的核心考量在于消除经济诱因,使未经充分研究、仅依赖AI批量生成的投机性报告失去动力。
他同时坦言,curl作为规模精简的开源项目,长期依赖少数核心维护者持续投入。当前报告洪流已对团队成员的心理状态与可持续维护能力构成切实压力。计划终止后,curl将不再为任何漏洞披露提供奖金,亦不再协助研究人员向其他机构申请相关报酬。尽管此举未必能彻底杜绝无效投稿,但旨在切实减轻开发者负担,保障项目长期稳定发展。
侠游戏发布此文仅为了传递信息,不代表侠游戏网站认同其观点或证实其描述
