微新创想:由于 AI 生成的虚假漏洞报告泛滥,知名开源项目 Node.js 官方宣布将暂停通过 HackerOne 平台向漏洞报告者发放现金奖励。近年来大量用户利用 AI 工具大规模扫描并提交漏洞报告,这种行为导致开源社区的平衡被打破。发现漏洞(或疑似漏洞)的速度已远超开发者修复的速度,更严重的是其中充斥着大量低质量、误报甚至伪造的报告。
为此,HackerOne 的“互联网漏洞赏金计划”(IBB)已停止接收新报告,这也直接切断了 Node.js 奖励金的外部来源。作为一个由社区志愿者主导的项目,Node.js 并没有独立预算来支付赏金。安全公司 Socket 指出,Node.js 实际上早已在调整机制。
审核负担:每份报告都需要开发者投入大量精力核实,而 AI 生成的低质量内容极大地浪费了志愿维护者的时间。门槛提高:为了抵御 AI 轰炸,项目组此前已大幅提高提交门槛,但仍难以抵挡自动化工具的冲击。
流程不变,仅停发奖金。Node.js 强调,虽然奖金暂停,但安全保障并未“打折”。提交流程:研究人员仍可通过 HackerOne 提交漏洞。处理优先级:团队将维持原有的响应速度和补丁发布流程,确保项目安全性。
Node.js 并非孤例。今年1月,知名网络工具 cURL 也因遭到 AI 生成的报告“狂轰乱炸”而被迫终止了赏金计划。这反映出在生成式 AI 普及后,传统的开源激励机制正面临系统性挑战。如何筛选出真正有价值的专业反馈,已成为开源社区急需解决的难题。
