开源网络工具 cURL 的开发者 Daniel Stenberg 日前宣布,由于持续收到大量由人工智能生成的虚假漏洞报告,cURL 安全漏洞赏金项目将于本月底正式终止。这一决定旨在避免团队资源被无效报告过度消耗,确保真正有价值的安全问题能够得到及时处理。
据 Daniel Stenberg 介绍,自去年以来,cURL 安全团队频繁收到通过 AI 工具批量生成的漏洞报告。这些报告看似专业,实则内容完全虚构,甚至存在明显的技术矛盾。由于团队规模仅 7 人,每次验证报告都需要投入大量时间,最终发现绝大多数报告毫无价值。这种情况不仅浪费了团队精力,也干扰了正常漏洞修复流程。
去年 7 月,Daniel Stenberg 曾在个人博客中公开警告此类行为,呼吁提交者停止滥用赏金机制。然而,相关报告数量非但没有减少,反而呈现上升趋势。面对持续恶化的局面,开发团队最终决定终止运行多年的赏金项目,以集中资源应对真实的安全威胁。
公开资料显示,截至去年 7 月,cURL 安全漏洞赏金项目已向 81 位安全研究人员发放总计 9 万美元(约合人民币 64.7 万元)的奖励。该项目本意是鼓励全球开发者共同维护工具安全,却因部分人员利用技术漏洞谋取私利,导致善意机制被迫终止。这一事件也引发了开源社区对 AI 工具滥用问题的广泛讨论。
