一周内七份漏洞报告,十六小时连续轰炸,最终证实零真实漏洞——这个开源项目的安全团队在AI生成报告的洪流中举起了白旗。
2026年1月22日,全球广泛使用的命令行工具cURL宣布,其通过HackerOne平台运行的漏洞赏金计划将于本月底正式终止。
这一决定源于项目维护团队不堪承受大量低质量AI生成报告的重负。
cURL创始人兼首席开发者丹尼尔·斯滕伯格在一封邮件中直言:“关闭赏金计划的主要目标是消除人们向我们提交垃圾和未经充分研究的报告的动力,无论是否为AI生成。”
01 决策背后
cURL项目安全团队仅由7名成员组成,面对激增的报告数量显得捉襟见肘。
斯滕伯格详细描述了团队面临的困境:“我们在不到一周的时间内收到了7份HackerOne报告,处理这批报告花了相当长的时间。最终我们得出结论,它们都没有发现真正的安全漏洞。”
2026年至今,cURL已经收到了20份漏洞提交,但无一被证实为真正的安全漏洞。
02 开源之困
cURL并非唯一遭受AI生成报告困扰的开源项目。
其他开源项目的安全报告处理人员塞斯·拉森也报告称,开源项目面临“低质量、垃圾邮件式和LLM幻觉安全报告的增加”。
拉森指出:“问题在于,在大语言模型时代,这些报告乍一看似乎可能是合法的,因此需要时间来反驳。”
03 应对策略
自2026年2月1日起,cURL将不再接受新的HackerOne提交,而是要求研究人员通过GitHub直接报告安全问题。
与此同时,斯滕伯格采取了一种非传统的应对方式。他曾在社交平台上公开嘲笑那些提交“愚蠢AI生成报告”的人,并表示这种做法是传递信息的最佳方式之一。
斯滕伯格在回应批评时表示:“当然这是一种平衡,但我仍然相信,曝光、讨论和嘲笑那些浪费我们时间的人,是传递信息的最佳方式之一。”
04 实质影响
自2019年启动以来,cURL的漏洞赏金计划已向81名安全漏洞发现者支付了9万美元奖励。
该计划通过HackerOne和互联网漏洞赏金计划运行,为负责任披露cURL和libcurl中的安全漏洞提供现金奖励。
斯滕伯格希望,即使在终止赏金计划后,安全研究人员仍会继续报告真正的漏洞。他在邮件中写道:“我们相信,或者说希望,即使我们不支付报酬,我们仍然会收到实际的安全漏洞报告。未来会告诉我们答案。”
cURL项目安全团队为处理AI生成的漏洞报告投入大量时间后,发现这些报告均未包含真正的安全威胁。与此同时,其安全团队的新立场已反映在最近更新的安全文件中。
这个全球网络工具的背后,只是一支七人维护团队在开源世界的坚持与无奈。
当AI生成的漏洞报告如潮水般涌向这个小型开源项目,维护者们不得不做出艰难决定。
关注 “悠AI” 更多干货技巧行业动态
相关文章
