知名開源命令行工具及庫 curl 的創始人 Daniel Stenberg 近日宣布,該項目將於 2026 年 1 月底正式終止在 HackerOne 平台上的安全漏洞懸賞計劃。這一決定背後的原因是項目團隊被大量低質量、由 AI 生成的漏洞報告所淹沒。
自 2019 年以來,curl 的漏洞懸賞計劃一直通過 HackerOne 和 Internet Bug Bounty 運行,為負責任地披露 curl 和 libcurl 中的安全漏洞提供現金獎勵。但隨著生成式 AI 的普及,漏洞報告的數量出現了病態激增。
Stenberg 指出,僅在一周內,團隊就在 16 小時內收到了 7 個 HackerOne 問題,而截至 1 月下旬,此類報告已達 20 份。這些報告大多是所謂的「AI Slop」(AI 廢話):內容聽起來邏輯自洽、極其專業,但經人工復核後發現其描述的漏洞根本不存在或毫無意義。
這種看似有用實則冗餘的報告,迫使 curl 安全團隊耗費大量精力進行排查。Stenberg 在郵件中解釋稱,關閉懸賞的主要目的是移除利益動機,讓那些不經過深度研究就提交垃圾報告的人無利可圖。他坦言,作為規模較小的開源項目,核心維護者人數有限,目前的投稿洪流已經嚴重威脅到團隊的心理健康和項目生存。
一旦相關文件更新生效,curl 將不再為任何漏洞報告提供獎勵,也不再協助研究人員向第三方爭取報酬,雖然這可能無法完全杜絕垃圾投稿,但 Stenberg 希望能夠在一定程度上保護開發者的精力。
