1月26日消息,知名开源命令行工具及库curl的创始人Daniel Stenberg近日宣布,该项目计划在2026年1月底正式停止其在HackerOne平台上的安全漏洞悬赏计划。
项目团队被大量低质量、由AI生成的漏洞报告所淹没,这正是这一决定背后的原因。
自2019年起,Curl的漏洞悬赏计划始终借助HackerOne与Internet Bug Bounty这两个平台开展运作,旨在为那些负责任地披露Curl及libcurl中安全漏洞的行为提供现金奖励。
不过,随着生成式AI的逐渐普及,漏洞报告的数量开始出现病态般的激增。Stenberg提到,仅仅在一周时间里,团队就在16个小时内收到了7个来自HackerOne的问题报告;到了1月下旬,这类报告的总数已经达到了20份。
这些报告大多属于所谓的“AI Slop”(AI废话)范畴:表面上逻辑连贯、专业感十足,可一旦经过人工核查,就会发现其中所提及的漏洞要么子虚乌有,要么毫无实际意义。
这种表面上有用、实际却冗余的报告,让curl安全团队不得不花费大量精力去排查。
Stenberg在邮件里解释说,关闭悬赏的主要原因是消除利益驱动,使那些未经过深入研究就提交无效报告的人无法从中获利。
他直言,身为规模不大的开源项目,核心维护人员数量不多,当下大量涌来的投稿已对团队的心理健康与项目存续构成严重威胁。
一旦相关文件更新生效,curl将停止为任何漏洞报告提供奖励,也不再协助研究人员向第三方争取报酬。尽管这不太可能彻底杜绝垃圾投稿,但Stenberg期望能借此在一定程度上节省开发者的精力。
