受够了。知名开源网络文件传输协议cURL的首席开发者和创始人Daniel Stenberg宣布,将在1月底关闭cURL的漏洞悬赏计划。
为什么?因为cURL的维护者们正在被AI垃圾内容淹没。在通过Mastodon进行的采访中,Stenberg告诉The New Stack:"这是我们试图消除提交虚假谎言激励措施的尝试。提交质量已经急剧下降;不仅大量提交内容是纯粹的垃圾,那些看起来不是明显AI生成的内容在很大程度上似乎也更糟糕(可能因为它们也是AI生成的,只是隐藏得更好)。我们需要采取行动防止被淹没。"
他并不是唯一一个对AI垃圾漏洞报告感到厌烦的人。sbomify创始人兼Screenly联合创始人Viktor Petersson是第一个在LinkedIn帖子中传播cURL这一变化消息的人,他写道:"我们Screenly看到的数量可能只是curl收到数量的一小部分,但漏洞悬赏中AI垃圾内容的数量对人工审查员来说非常繁重。"完全赞同。
Stenberg继续说道:"计划在1月底关闭它,所以项目可能下周会有更多相关消息。这也与我那个周末在FOSDEM关于开源安全和AI的演讲时间安排得很好。"
这一举措并不令人意外。Stenberg一段时间以来一直是滥用AI漏洞报告最直言不讳的反对者。2025年5月,他曾抱怨来自漏洞悬赏网站HackerOne的"AI垃圾"报告洪流。他在LinkedIn上说:"我们现在立即封禁每一个提交我们认为是AI垃圾报告的报告者。已经达到了一个临界点。我们实际上正在遭受DDoS攻击。如果可以的话,我们会因为浪费我们的时间而向他们收费。我们至今还没有看到一个在AI帮助下完成的有效安全报告。"
然而,这并不是说Stenberg拒绝使用AI来查找漏洞。他并不拒绝。例如,在2025年9月,他在Mastodon上称赞Joshua Rogers"向我们发送了一个庞大的curl潜在问题列表,这些问题是他使用AI辅助工具集发现的。代码分析器风格的细节问题遍布各处。大多数是较小的漏洞,但仍然是漏洞,其中可能有一两个真正的安全缺陷。实际上,这些发现真的很棒。"
你看,Stenberg的问题不在于AI本身;而在于懒惰的人们如何不加思考地使用AI来寻找赏金支票或安全研究员的声誉。
请注意,如果你确实发现了一个真正的漏洞,无论是否有AI帮助,cURL维护者仍然希望了解它。但是,如果你使用AI,你必须遵循cURL的AI使用规则。这不是可选的。如果你不遵守这些规则,你就无法为cURL做出贡献。考虑到cURL维护者被AI垃圾内容埋没的程度,你不能责怪他们采取如此严格的立场。换作是我也会这样做。
Q&A
Q1:cURL为什么要关闭漏洞悬赏计划?
A:cURL关闭漏洞悬赏计划是因为维护者们被大量AI生成的垃圾漏洞报告淹没。这些AI生成的报告质量极差,大多是虚假内容,严重浪费了维护者的时间和精力,迫使他们采取这一措施来阻止AI垃圾内容的泛滥。
Q2:cURL完全禁止使用AI来查找漏洞吗?
A:不是的。cURL创始人Stenberg并不反对AI本身,他曾称赞过使用AI辅助工具发现的有效漏洞报告。问题在于人们懒惰地、不加思考地使用AI生成垃圾报告来获取赏金。如果要使用AI,必须严格遵循cURL的AI使用规则。
Q3:漏洞悬赏计划关闭后还能向cURL报告漏洞吗?
A:可以的。即使关闭漏洞悬赏计划,如果发现真正的漏洞,无论是否使用AI帮助,cURL维护者仍然希望了解这些漏洞。但前提是必须遵循相关规则,特别是AI使用规则,否则将无法为cURL项目做出贡献。
