共计 1126 个字符,预计需要花费 3 分钟才能阅读完成。
广受欢迎的开源数据传输工具 cURL 近日宣布,将于 2026 年 1 月底正式终止其漏洞赏金计划。这一决定直接源于项目维护团队难以应对大量由人工智能(AI)生成的“垃圾报告”所带来的巨大评估负担。
项目首席维护者 Daniel Stenberg 于上周在 GitHub 上提交了一个名为“BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026”的 commit,正式启动了该计划的终止流程。这标志着开源安全领域应对 AI 生成内容挑战的一个标志性事件。
- 
- 
- 
- 
关注此事的读者可能记得,Stenberg 对 AI 辅助漏洞报告的担忧由来已久。他早在 2024 年初 就开始公开表达不满,并于 2025 年年中 首次考虑终止该计划。尽管他曾 承认,AI 在辅助开发者发现某些复杂漏洞方面可以成为有效工具,但最终,泛滥成灾的低质量 AI 报告所带来的噪音,迫使他做出了最终决定。
Stenberg 在一封详细的 公开邮件 中解释了他的理由。他提到,仅在上周,该项目就收到了七份通过赏金计划提交的报告,其中一些确实指出了程序错误,但没有一份涉及真正的安全漏洞。评估这些低质量报告耗费了安全团队“相当长的时间”,严重分散了他们对真正关键漏洞的注意力。
他表示,希望终止赏金计划能够“消除人们向我们提交垃圾报告和未经充分研究的报告的动机——无论这些报告是否由 AI 生成。”他进一步指出:“当前报告提交的洪流给 cURL 安全团队带来了巨大负担,这是我们试图减少噪音的一次尝试。”
尽管如此,Stenberg 在声明中明确呼吁,希望安全研究社区能继续提交“实际安全漏洞”的报告,尽管“我们不再为此付费”。“未来会告诉我们答案,”他补充道。这不仅关乎开发者是否愿意无偿分享漏洞,也关乎他们是否愿意在报告被认定为不符合标准时,承受被项目公开批评的风险。
在邮件的另一部分,Stenberg 重申了他对向赏金计划提交“愚蠢的 AI 生成报告”者进行公开批评的立场。他透露,最近曾与一位被他批评过的提交者进行交流。“这对我很有用,它提醒我,这些人往往只是被误导的普通人,他们实际上可能会从中吸取教训,甚至做出改变,”他写道。
然而,Stenberg 仍为自己保留了公开表达不满的权利。“这当然需要平衡,但我仍然相信,揭露、讨论甚至嘲笑那些浪费我们时间的人,是传达以下信息的最佳方式之一:除非你真正理解一个错误或漏洞——并且能够复现它——否则你永远不应该报告它。”
“如果你仍然这样做,我相信我有权嘲笑——并对这样做的人感到愤怒,”他补充道。随后他也展现了克制的一面,承认“这个人可能只是一个犯了一次性错误的青少年,他未来可能会继续生活,并创造出出色的东西。”这一事件引发了关于开源项目维护、AI 工具滥用以及安全社区协作模式的广泛思考。
