开源项目的“幸福烦恼”:当 AI 报告泛滥成灾
在开源世界里,被发现漏洞通常意味着责任与压力。但最近,一个令人哭笑不得的问题正在蔓延——越来越多的漏洞报告,根本就是 AI 胡编乱造的“电子废话”。
这不,全球广泛使用的命令行工具 curl 的开发者团队终于宣布:受够了。
从 2026 年 1 月 31 日起,curl 将正式终止其在 HackerOne 平台上的漏洞赏金计划。原因?不是没人关注安全,而是太多人用 AI 批量生成毫无价值的虚假报告,让本就人手紧张的维护团队不堪重负。
“AI 垃圾”来袭:专业术语堆砌,实际一文不值
curl 的创始人 Daniel Stenberg 给这类内容起了个贴切的名字:“AI Slop”(AI 垃圾)。这些报告往往语法流畅、术语精准,看起来像模像样,但深入一看——漏洞不存在,复现步骤是幻觉,引用的代码片段张冠李戴。
更夸张的是,在短短 16 小时内,团队就收到了 7 份无效报告;而进入 2026 年以来,类似提交已累计达到 20 起。对一个依赖志愿者和有限核心成员维护的项目来说,每一份报告都必须人工核查,这种“狼来了”的游戏正在消耗开发者的耐心与精力。
关闭赏金,是为了活下去
Stenberg 明确指出:终止漏洞赏金,不是放弃安全,而是为了保护项目的可持续性。金钱奖励本意是激励高质量研究,但现在却成了驱动低质 AI 内容批量提交的诱因。
“我们不想再鼓励那种未经思考、只求撞大运的提交行为,”他表示,“这不仅浪费我们的时间,更严重损害了开发者的心理健康。”
新规则上线:回归 GitHub,垃圾报告将被封禁甚至嘲讽
从 2026 年 2 月 1 日起,curl 将彻底告别 HackerOne 上的奖金机制:
- 不再为任何错误报告提供金钱奖励;
- 不再协助研究人员向第三方申请补偿;
- 所有安全问题需通过 GitHub 仓库直接提交。
不仅如此,curl 还在项目的 security.txt 文件中加入了明确警告:恶意或重复提交垃圾报告的用户,可能面临账号封禁,甚至被公开点名嘲讽——这句带着极客式幽默的警告,透露出开发者群体面对 AI 泛滥时的无奈与反击。
当 AI 碰撞开源:一场关于信任与效率的拉锯战
curl 的决定,或许只是一个开始。随着 AI 工具在安全研究领域的普及,如何区分真正有价值的发现与自动生成的噪音,正成为整个开源生态面临的挑战。
一个维护着互联网底层运转的工具,却要花时间甄别 AI 编造的“假警报”,这本身就是一种讽刺。而 curl 的退出,是对系统性失衡的一次清醒回应。
有时候,说“不”,才是守护开源初心的方式。