開源網絡工具 cURL 的開發者 Daniel Stenberg 日前宣布,由于持續收到大量由人工智能生成的虛假漏洞報告,cURL 安全漏洞賞金項目將于本月底正式終止。這一決定旨在避免團隊資源被無效報告過度消耗,確保真正有價值的安全問題能夠得到及時處理。
據 Daniel Stenberg 介紹,自去年以來,cURL 安全團隊頻繁收到通過 AI 工具批量生成的漏洞報告。這些報告看似專業,實則內容完全虛構,甚至存在明顯的技術矛盾。由于團隊規模僅 7 人,每次驗證報告都需要投入大量時間,最終發現絕大多數報告毫無價值。這種情況不僅浪費了團隊精力,也干擾了正常漏洞修復流程。
去年 7 月,Daniel Stenberg 曾在個人博客中公開警告此類行為,呼吁提交者停止濫用賞金機制。然而,相關報告數量非但沒有減少,反而呈現上升趨勢。面對持續惡化的局面,開發團隊最終決定終止運行多年的賞金項目,以集中資源應對真實的安全威脅。
公開資料顯示,截至去年 7 月,cURL 安全漏洞賞金項目已向 81 位安全研究人員發放總計 9 萬美元(約合人民幣 64.7 萬元)的獎勵。該項目本意是鼓勵全球開發者共同維護工具安全,卻因部分人員利用技術漏洞謀取私利,導致善意機制被迫終止。這一事件也引發了開源社區對 AI 工具濫用問題的廣泛討論。
