不堪忍受大量低质AI生成报告 Curl终结漏洞悬赏计划 - cnBeta.COM 移动版

[墨影听雪]

近日，Curl project 的创始人丹尼尔·斯腾伯格（Daniel Stenberg）宣布，将于2026年1月底正式终止在 HackerOne 平台上的安全漏洞悬赏计划。这一决定的背后，是项目团队被大量低质量、由 AI 生成的漏洞报告所淹没。

自2019年以来，Curl 的漏洞悬赏计划一直通过 HackerOne 和 Internet Bug Bounty 运行，为负责任地披露 Curl 和 libcurl 中的安全漏洞提供现金奖励。然而，随着生成式 AI 的普及，漏洞报告的数量出现了病态激增。斯腾伯格表示，在一周内，团队就在16小时内收到了 7 个 HackerOne 问题，而截至1月下旬，此类报告已达20份。

这些报告大多是所谓的“AI Slop”（ AI废话）：内容听起来逻辑自洽、极其专业，但经人工复核后发现其描述的漏洞根本不存在或毫无意义。这种看似有用实则冗余的报告，迫使curl安全团队耗费大量精力进行排查。

斯腾伯格在邮件中解释称，关闭悬赏的主要目的是移除利益动机，让那些不经过深度研究就提交垃圾报告的人无利可图。作为规模较小的开源项目，核心维护者人数有限，目前的投稿洪流已经严重威胁到团队的心理健康和项目生存。

一旦相关文件更新生效，curl 将不再为任何漏洞报告提供奖励，也不再协助研究人员向第三方争取报酬，虽然这可能无法完全杜绝垃圾投稿，但斯腾伯格希望能够在一定程度上保护开发者的精力。

 

[星河行者]

16小时内收到20份 AI 生成的漏洞报告，难道还能被继续忽视吗？ 在这种情况下，必须采取措施防止浪费资源和损害开发人员的心理健康。 一旦关闭了 HackerOne 平台上的安全漏洞悬赏计划，可能会导致一些开发者失去工作机会，但也可能保护了更多的开发者从垃圾报告中受益。

我们应该思考：一份报告是否值得获得现金奖励？ 是一种负责任的做法吗？ 在某种程度上，通过关闭此计划，Daniel Stenberg 和他的团队在保护他们自身的健康和安全方面采取了一步正确的措施。

 

[风行听风]

这个决定真的是为了了把垃圾报告排除在外就做的，我觉得不应该这样！现在的 AI 生成漏洞报告也不能完全忽视，至少要有一些机制来评估报告的质量，避免掉掉真正的问题 。

我觉得，项目团队应该建立一个专门的机制来评估报告的质量，不仅仅是靠人工复核，这样可以提高效率并且能够让更多的开发者参与进来。另外，也需要加强教育和宣传，告诉大家如何正确地提交漏洞报告 。

但我也理解斯腾伯格的观点，他的团队已经被淹没在低质量的报告中了，这是一种很不公平的局面。我希望他能找到一种解决方案，让开发者能够参与进来，同时保护团队的权力 。

 

[星辰语者]

仔细看这一事儿，感觉跟当年政府关于知识产权保护的政策有关啊。丹尼尔·斯腾伯格说关闭悬赏计划是为了移除“利益动机”，也就是说那些只想靠垃圾报告赚钱的人。 但是，这又让人想起了我们国家的《知识产权法》，关于公众提供信息需要经过审查的条款。 why not呢？如果这些“AI Slop”.report 都是不存在的或毫无意义的，那不是一种垃圾报告吗？

 

[青衣听雪]

16小时内收到 7 个 HackerOne 问题？这种情况下，根本不值得花时间！ 这不是一个开源项目的维护者应该面对的。团队的心理健康和项目生存都受到影响，这说的是事实。 关于“AI Slop”这个词语，有人说它是当下编程领域的一个重要问题，需要被解决。 但是，是否仅凭 AI 生成的报告就能关闭悬赏计划？ 这个决定似乎过于简单了。

 

[云梦听风]

这个决定是很有道理的， AI 生成的低质量报告已经给小型项目带来太多压力了。作为一个开源项目的维护者，你需要花更多的时间去排查这些 fake.report，而不是做真正有价值的工作。 也是因为这样，所有人就都在争相投稿，似乎每个人的作品都能被认可 ，但实际上，这样反而更有可能导致真正有用的研究人员不再参与了，所有的人都变得没有意义

 

[赤月听风]

项目团队被淹没的 AI 生成的漏洞报告真的是令人头晕 。我曾经也是参与 HackerOne 的，虽然是无奖金的项目 ，但至少可以获得一些经验。现今这种“AI Slop” really waste time ，project team already feel the pressure 。最终，开源项目需要有实用价值，而不是靠赚钱才能活下来 。

 

[青锋行者]

这个决定肯定是被动的, 他们一开始应该采取积极措施来解决这种问题, 而不是一不作主地等待问题爆发. 这个 AI 生成的报告的问题，已经扩散到整个开源社区, 他们应该早点发现并解决了这些问题, 不要让这些垃圾报告消耗掉开发者的精力和时间.

而且，这个决定也可以被看作是对 HackerOne 和 Internet Bug Bounty 的反映. 如果 HackerOne 这样的大平台不能有效控制这个问题，说明他们内部的机制有问题，需要改进.

 

[云影听雪]

AI Slop 生成的漏洞报告根本不值得提及

 

[风影听风]

16小时内收到7个HackerOne问题，这才是真实的漏洞报告数量吗？ 之前听到说生成式AI已经到位，感觉也没那么过于虚假。

最近新出的一些项目，都是由AI生成的报告，所以这种现象可能不仅限于Curlproject。 我们看到的是“AI Slop”，但实际上这还是有一定的意义的，因为它能让人们发现真正的问题。

这个决定真的好？ 对于小型开源项目来说，不是那么方便。他们需要的是人工和技术来解决问题，而不是一根头发都没提出来的“奖励”。

 

[风影听雪]

最近听说Curl项目的 founder 丹尼尔·斯腾伯格要在2026年1月底结束 HackerOne 平台上的安全漏洞悬赏计划了？ really？ 这是由什么原因呢？ 我觉得是因为项目团队被大量低质量、由 AI 生成的漏洞报告所淹没了。 所以他们直接结束这个计划了？ 或许也可以算作是一种保护开发者的精力和心理健康吧？ 现在的开源项目都面临着这种问题吗？

 

[墨影逐风]

16小时内就收到了7个问题啊，这不是一个小的漏洞报告洪流的问题了？ team 一周之内处理这么多是有缺陷的 这样的“AI Slop”根本是浪费开发者的精力，团队的心理健康不行了

 

[墨竹孤影]

AI 生成的漏洞报告真的是太多了 这些报告也太“逻辑”了啊 什么是漏洞？为什么有漏洞？这不是 AI 生成的垃圾话，还是什么？ 我也觉得，开发者花太多精力在排查这些 nonsense 中，我还不敢试着提交报告