2026年1月21日,备受瞩目的cURL安全漏洞赏金项目正式宣布即将终止,这一决定由cURL项目核心开发者Daniel Stenberg亲自发布。据悉,该项目自设立以来已成功激励全球安全研究人员发现并报告81个真实漏洞,累计向漏洞发现者发放约9万美元的奖励,在开源安全领域取得了显著成效。然而,随着人工智能技术的快速发展,大量AI生成的虚假漏洞报告泛滥成灾,给项目团队带来了前所未有的压力。
cURL项目团队目前仅有7名成员,却不得不投入大量时间和精力甄别真假报告,导致工作效率大幅下降。尽管团队在去年7月已经公开警告过AI伪造报告的恶意行为,但情况并未得到有效遏制,反而呈现愈演愈烈的趋势。面对无效报告的持续冲击,项目团队最终不得不做出艰难决定——在本月底正式关闭漏洞赏金项目。
这一事件不仅反映了AI技术滥用的严重后果,更揭示了开源安全生态面临的全新挑战。随着自动化工具的普及,恶意行为者利用AI生成虚假漏洞报告进行敲诈勒索的现象日益普遍,这严重损害了开源社区的信任基础。未来,如何建立更有效的机制来防范AI滥用,将成为开源安全领域亟待解决的重要课题。
