备受推崇的命令行工具curl的开发团队近日正式宣布,因不堪重负的AI生成虚假漏洞报告泛滥,该项目将于2026年1月底终止在HackerOne平台的安全漏洞赏金计划。curl创始人Daniel Stenberg在公开声明中痛心指出,这些被戏称为”AI垃圾”的报告看似专业,实则毫无价值,不仅对项目毫无益处,反而给本就人手不足的维护团队带来了沉重的审核负担。令人咋舌的是,在短短16小时内,团队就遭遇了7个毫无根据的无效报告,而截至2026年初,累计收到的此类报告已高达20份。
Stenberg强调,关闭赏金计划的核心目的在于斩断那些诱导人们提交未经深思熟虑报告的灰色利益链,保护开发者的心理健康,确保项目的长期可持续发展。这一艰难决定背后,是开发团队长期被AI生成垃圾报告所困扰的真实写照。这些看似专业的报告往往充斥着无稽之谈,不仅浪费了团队宝贵的审核时间,更严重的是,它们污染了漏洞报告的生态,干扰了真正安全问题的发现。
根据最新公布的计划调整方案,curl项目将从2026年2月1日起全面停止对任何漏洞报告的金钱奖励,同时将不再协助研究人员从第三方渠道获取任何形式的补偿。未来所有安全问题将统一通过GitHub平台进行报告和跟进。值得注意的是,该项目已在security.txt文件中发布了严厉警告:任何提交垃圾报告的用户都将面临账号封禁甚至公开嘲讽的风险,以此警示恶意提交行为。
这一系列举措标志着安全漏洞赏金计划正在经历一场深刻的变革。在AI技术泛滥的当下,如何确保漏洞报告的质量成为所有开源项目必须面对的课题。curl团队的做法无疑为行业树立了标杆,即坚决抵制低质量报告,维护一个健康、高效的安全生态。对于广大安全研究人员而言,这也意味着未来需要更加注重报告的严谨性和实用性,才能真正为开源社区贡献价值。
