cURL因AI垃圾报告过载终止漏洞悬赏计划

受够了。知名开源网络文件传输协议cURL的首席开发者和创始人Daniel Stenberg宣布，将在1月底关闭cURL的漏洞悬赏计划。

为什么？因为cURL的维护者们正在被AI垃圾内容淹没。在通过Mastodon进行的采访中，Stenberg告诉The New Stack："这是我们试图消除提交虚假谎言激励措施的尝试。提交质量已经急剧下降；不仅大量提交内容是纯粹的垃圾，那些看起来不是明显AI生成的内容在很大程度上似乎也更糟糕（可能因为它们也是AI生成的，只是隐藏得更好）。我们需要采取行动防止被淹没。"

他并不是唯一一个对AI垃圾漏洞报告感到厌烦的人。sbomify创始人兼Screenly联合创始人Viktor Petersson是第一个在LinkedIn帖子中传播cURL这一变化消息的人，他写道："我们Screenly看到的数量可能只是curl收到数量的一小部分，但漏洞悬赏中AI垃圾内容的数量对人工审查员来说非常繁重。"完全赞同。

Stenberg继续说道："计划在1月底关闭它，所以项目可能下周会有更多相关消息。这也与我那个周末在FOSDEM关于开源安全和AI的演讲时间安排得很好。"

这一举措并不令人意外。Stenberg一段时间以来一直是滥用AI漏洞报告最直言不讳的反对者。2025年5月，他曾抱怨来自漏洞悬赏网站HackerOne的"AI垃圾"报告洪流。他在LinkedIn上说："我们现在立即封禁每一个提交我们认为是AI垃圾报告的报告者。已经达到了一个临界点。我们实际上正在遭受DDoS攻击。如果可以的话，我们会因为浪费我们的时间而向他们收费。我们至今还没有看到一个在AI帮助下完成的有效安全报告。"

然而，这并不是说Stenberg拒绝使用AI来查找漏洞。他并不拒绝。例如，在2025年9月，他在Mastodon上称赞Joshua Rogers"向我们发送了一个庞大的curl潜在问题列表，这些问题是他使用AI辅助工具集发现的。代码分析器风格的细节问题遍布各处。大多数是较小的漏洞，但仍然是漏洞，其中可能有一两个真正的安全缺陷。实际上，这些发现真的很棒。"

你看，Stenberg的问题不在于AI本身；而在于懒惰的人们如何不加思考地使用AI来寻找赏金支票或安全研究员的声誉。

请注意，如果你确实发现了一个真正的漏洞，无论是否有AI帮助，cURL维护者仍然希望了解它。但是，如果你使用AI，你必须遵循cURL的AI使用规则。这不是可选的。如果你不遵守这些规则，你就无法为cURL做出贡献。考虑到cURL维护者被AI垃圾内容埋没的程度，你不能责怪他们采取如此严格的立场。换作是我也会这样做。

Q&A

Q1：cURL为什么要关闭漏洞悬赏计划？

A：cURL关闭漏洞悬赏计划是因为维护者们被大量AI生成的垃圾漏洞报告淹没。这些AI生成的报告质量极差，大多是虚假内容，严重浪费了维护者的时间和精力，迫使他们采取这一措施来阻止AI垃圾内容的泛滥。

Q2：cURL完全禁止使用AI来查找漏洞吗？

A：不是的。cURL创始人Stenberg并不反对AI本身，他曾称赞过使用AI辅助工具发现的有效漏洞报告。问题在于人们懒惰地、不加思考地使用AI生成垃圾报告来获取赏金。如果要使用AI，必须严格遵循cURL的AI使用规则。

Q3：漏洞悬赏计划关闭后还能向cURL报告漏洞吗？

A：可以的。即使关闭漏洞悬赏计划，如果发现真正的漏洞，无论是否使用AI帮助，cURL维护者仍然希望了解这些漏洞。但前提是必须遵循相关规则，特别是AI使用规则，否则将无法为cURL项目做出贡献。