AI 垃圾报告泛滥成灾，开源神作 curl 终告别漏洞赏金计划

由于深陷生成式 AI 炮制的“垃圾漏洞报告”泥潭，开源界的长青工具 curl 终于不堪重负。维护者们在无休止的低质审核中精疲力竭，最终作出了一个艰难的决定：终止这项运行多年的漏洞赏金计划。这不仅是 curl 的悲哀，更是整个开源生态在 AI 浪潮下遭遇的现实困境。

就在上周，curl 的创始人兼核心维护者 Daniel Stenberg 在 GitHub 上提交了一次极具决断力的代码变更，标题清晰有力：

「BUG-BOUNTY.md：我们将于 2026 年 1 月底正式关停漏洞赏金计划」

在这次 Commit 中，他彻底移除了项目中所有关于 HackerOne 平台及奖励机制的描述。这意味着，自 2019 年起为 curl 安全性作出巨大贡献的激励渠道，即将在本月画上句号。

被“数字垃圾”围攻的小规模开发团队

Daniel Stenberg 在随后发表的声明中直言不讳地揭示了背后的无奈。

“作为一个活跃维护者极少的微型开源项目，我们没有精力去对抗那些利用 AI 大规模制造垃圾报告的人，”他沉重地表示，“为了确保项目的持续开发，也为了守护团队成员的心理健康，我们必须斩断这个干扰源。”

作为全球网络基础设施的基石，curl 近两年收到的漏洞报告质量呈断崖式下跌。大量用户为了攫取赏金，利用 AI 工具批量生产看似专业、实则逻辑荒谬的报告，这种“碰运气”的行为让维护者陷入了无谓的内耗中。

这一声明在技术社区引发了强烈反响。有人认为这是对赏金猎人群体的警示，也有人感叹 AI 工具正在毒化原本纯粹的开源协作模式。

一位资深开发者评论道：“看到你被迫经历这一切我感到非常难过，这标志着漏洞赏金行业的一个低谷——当平台无法过滤低质内容时，受害的是真正的开发者。”

尽管业内公认赏金计划是提升代码安全性的利器，但 Stenberg 强调，当维护成本远超收益时，放弃是唯一的出路。

根据最新公告，curl 漏洞赏金计划将于 1 月 31 日正式落幕。Stenberg 解释道，为了给社区留出缓冲时间，他选择了提前合并更新。

在截止日期前，团队仍会秉持专业态度处理所有提交；而从 2 月 1 日起，HackerOne 频道将彻底关闭，所有安全问题需通过 GitHub 官方渠道提交，且不再提供现金奖励。

此外，curl 团队更新了其 “Security.txt” 政策，态度变得极为强硬：“严禁提交毫无价值的垃圾报告。对于恶意浪费我们时间的人，我们将实施封禁并公开其行为以示惩戒。”

老牌利器的安全保卫战

诞生于 30 年前的 curl，早已从最初的 httpget 蜕变为现代计算不可或缺的组件。无论是云端部署还是嵌入式设备，curl 的身影无处不在。

目前，该项目在 GitHub 上已收获超过 40k 的 Star 和 7k 的 Fork，其广泛的应用场景意味着任何安全疏漏都可能波及全球。

安全性曾是项目的生命线。长期以来，curl 通过金钱激励吸引全球专家发现隐匿漏洞，但随着 AI 门槛的降低，这一平衡被打破了。

Stenberg 早在 2024 年就对 LLM（大语言模型）发出的警告言犹在耳：金钱诱惑下，投机者正在摧毁信任。

过去，投机者只是跑跑扫描器，提交的报告一眼便能识破。但现在，AI 生成的报告具备了“欺骗性”的外壳：术语专业、排版精美。维护者必须投入数倍的精力去排查，最终却发现只是 AI 的胡言乱语。

Stenberg 指出，安全响应的优先级极高，每一次无效报告都在无端占用开发者修复真实 Bug 或开发新功能的时间，这种隐形的“数字垃圾攻击”正让开源团队慢性自杀。

2025：崩溃临界点

如果说 2024 年是 AI 干扰的开始，那么 2025 年则是彻底的失控。Stenberg 曾多次在社交平台上表达愤怒，甚至称其为针对维护者的“DDoS 攻击”。

他在名为《被千刀万剐的垃圾报告》的博文中透露：AI 报告已占据总量的 20%，但其有效漏洞率仅剩可怜的 5%。

尽管 curl 团队仅有 7 名核心成员，且大多为兼职，但他们需要为每份报告投入大量审阅时间。这种不成比例的付出，最终压垮了这项自 2019 年以来累计发放 9 万美元赏金的宏伟计划。

宁缺毋滥：重塑提交文化

Stenberg 强调，他并不反对 AI 辅助，但极度厌恶“盲目跟随 AI”。他曾公开称赞一位利用 AI 分析工具发现 22 个真实漏洞的研究员。显然，工具没有错，错的是那些不经思考便将 AI 输出当作事实提交的人。

如今，curl 选择断臂求生。这不仅是对项目资产的保护，更是对开源精神的捍卫。当生成的成本趋于零，筛选和信任的成本将变得无比昂贵。curl 的退出或许只是一个开端，提醒所有开源社区重新审视在 AI 时代下的安全与协作边界。