Curl漏洞悬赏计划宣告终止：只因无法承受海量低质AI生成报告！

1月26日消息，知名开源命令行工具及库curl的创始人Daniel Stenberg近日宣布，该项目计划在2026年1月底正式停止其在HackerOne平台上的安全漏洞悬赏计划。

项目团队被大量低质量、由AI生成的漏洞报告所淹没，这正是这一决定背后的原因。

自2019年起，Curl的漏洞悬赏计划始终借助HackerOne与Internet Bug Bounty这两个平台开展运作，旨在为那些负责任地披露Curl及libcurl中安全漏洞的行为提供现金奖励。

不过，随着生成式AI的逐渐普及，漏洞报告的数量开始出现病态般的激增。Stenberg提到，仅仅在一周时间里，团队就在16个小时内收到了7个来自HackerOne的问题报告；到了1月下旬，这类报告的总数已经达到了20份。

这些报告大多属于所谓的“AI Slop”（AI废话）范畴：表面上逻辑连贯、专业感十足，可一旦经过人工核查，就会发现其中所提及的漏洞要么子虚乌有，要么毫无实际意义。

这种表面上有用、实际却冗余的报告，让curl安全团队不得不花费大量精力去排查。

Stenberg在邮件里解释说，关闭悬赏的主要原因是消除利益驱动，使那些未经过深入研究就提交无效报告的人无法从中获利。

他直言，身为规模不大的开源项目，核心维护人员数量不多，当下大量涌来的投稿已对团队的心理健康与项目存续构成严重威胁。

一旦相关文件更新生效，curl将停止为任何漏洞报告提供奖励，也不再协助研究人员向第三方争取报酬。尽管这不太可能彻底杜绝垃圾投稿，但Stenberg期望能借此在一定程度上节省开发者的精力。