cURL开发者考虑取消漏洞赏金：因为AI制造“垃圾漏洞”太多了 这段时间，有个令人无奈的消息：全球最常用的开源工具之一 cURL 的作者 Daniel Stenberg 表示，可能会取消漏洞赏金项目。 原因不是钱，而是——太多 AI 自动提交的“假漏洞报告”，严重拖垮了人工审核。 从 2019 年至今，cURL 总共奖励了 81 个有效漏洞、发出约 9 万美元奖金。但最近，仅上周收到的“疑似AI生成报告”数量就达到平时的 8 倍，绝大多数都不是漏洞。 这些报告不少来自 HackerOne 平台，AI 工具扫代码后自动提交。问题是，这些漏洞看起来“很像那么回事”，团队成员（都是兼职）只能一条条确认，耗时耗力，还会错过真正的高危漏洞。 Daniel 表示，现在陷入两难： · 停掉漏洞奖励，会失去社区激励； · 继续发放，又会被 AI 报告“炸号”。 这是 AI 被误用的典型案例。AI 能帮忙，但不是拿来“滥用刷漏洞奖励”。当漏洞报告变成量产内容时，开源安全就变成了负担。 也希望平台和社区能尽快建立标准——让真实研究者得到回报，遏制滥用趋势。 🟦 你是否支持 cURL 暂停奖励？或者应该引入更严格的筛选机制？ 开源 curl 信息安全 漏洞赏金 AI滥用现象