不堪忍受大量低质AI生成报告 Curl终结漏洞悬赏计划

知名开源命令行工具及库curl创始人Daniel Stenberg近日宣布，该项目将于2026年1月底正式终止在HackerOne平台上的安全漏洞悬赏计划。这一决定的背后，是项目团队被大量低质量、由AI生成的漏洞报告所淹没。

自2019年以来，Curl的漏洞悬赏计划一直通过HackerOne和Internet Bug Bounty运行，为负责任地披露Curl和libcurl中的安全漏洞提供现金奖励。

但随着生成式AI的普及，漏洞报告的数量出现了病态激增，Stenberg指出，仅在一周内，团队就在16小时内收到了7个HackerOne问题，而截至1月下旬，此类报告已达20份。

这些报告大多是所谓的“AI Slop”（AI废话）：内容听起来逻辑自洽、极其专业，但经人工复核后发现其描述的漏洞根本不存在或毫无意义。

这种看似有用实则冗余的报告，迫使curl安全团队耗费大量精力进行排查。

Stenberg在邮件中解释称，关闭悬赏的主要目的是移除利益动机，让那些不经过深度研究就提交垃圾报告的人无利可图。

他坦言，作为规模较小的开源项目，核心维护者人数有限，目前的投稿洪流已经严重威胁到团队的心理健康和项目生存。

一旦相关文件更新生效，curl将不再为任何漏洞报告提供奖励，也不再协助研究人员向第三方争取报酬，虽然这可能无法完全杜绝垃圾投稿，但Stenberg希望能够在一定程度上保护开发者的精力。