核心内容摘要
揭秘BwBwBwBwBwBwBW:一个时代的缔造者,不止于创始人
受够了。
知名开源网络文件传输协议cURL的首席开发者和创始人Daniel Stenberg宣布将在1月底关闭cURL的漏洞悬赏计划。
为什么因为cURL的维护者们正在被AI垃圾内容淹没。
在通过Mastodon进行的采访中Stenberg告诉The New Stack这是我们试图消除提交虚假谎言激励措施的尝试。
提交质量已经急剧下降不仅大量提交内容是纯粹的垃圾那些看起来不是明显AI生成的内容在很大程度上似乎也更糟糕可能因为它们也是AI生成的只是隐藏得更好。
我们需要采取行动防止被淹没。
他并不是唯一一个对AI垃圾漏洞报告感到厌烦的人。
sbomify创始人兼Screenly联合创始人Viktor Petersson是第一个在LinkedIn帖子中传播cURL这一变化消息的人他写道我们Screenly看到的数量可能只是curl收到数量的一小部分但漏洞悬赏中AI垃圾内容的数量对人工审查员来说非常繁重。
完全赞同。
Stenberg继续说道计划在1月底关闭它所以项目可能下周会有更多相关消息。
这也与我那个周末在FOSDEM关于开源安全和AI的演讲时间安排得很好。
这一举措并不令人意外。
Stenberg一段时间以来一直是滥用AI漏洞报告最直言不讳的反对者。
2025年5月他曾抱怨来自漏洞悬赏网站HackerOne的AI垃圾报告洪流。
他在LinkedIn上说我们现在立即封禁每一个提交我们认为是AI垃圾报告的报告者。
已经达到了一个临界点。
我们实际上正在遭受DDoS攻击。
如果可以的话我们会因为浪费我们的时间而向他们收费。
我们至今还没有看到一个在AI帮助下完成的有效安全报告。
然而这并不是说Stenberg拒绝使用AI来查找漏洞。
他并不拒绝。
例如在2025年9月他在Mastodon上称赞Joshua Rogers向我们发送了一个庞大的curl潜在问题列表这些问题是他使用AI辅助工具集发现的。
代码分析器风格的细节问题遍布各处。
大多数是较小的漏洞但仍然是漏洞其中可能有一两个真正的安全缺陷。
实际上这些发现真的很棒。
你看Stenberg的问题不在于AI本身而在于懒惰的人们如何不加思考地使用AI来寻找赏金支票或安全研究员的声誉。
请注意如果你确实发现了一个真正的漏洞无论是否有AI帮助cURL维护者仍然希望了解它。
但是如果你使用AI你必须遵循cURL的AI使用规则。
这不是可选的。
如果你不遵守这些规则你就无法为cURL做出贡献。
考虑到cURL维护者被AI垃圾内容埋没的程度你不能责怪他们采取如此严格的立场。
换作是我也会这样做。
QAQ1cURL为什么要关闭漏洞悬赏计划AcURL关闭漏洞悬赏计划是因为维护者们被大量AI生成的垃圾漏洞报告淹没。
这些AI生成的报告质量极差大多是虚假内容严重浪费了维护者的时间和精力迫使他们采取这一措施来阻止AI垃圾内容的泛滥。
Q2cURL完全禁止使用AI来查找漏洞吗A不是的。
cURL创始人Stenberg并不反对AI本身他曾称赞过使用AI辅助工具发现的有效漏洞报告。
问题在于人们懒惰地、不加思考地使用AI生成垃圾报告来获取赏金。
如果要使用AI必须严格遵循cURL的AI使用规则。
Q3漏洞悬赏计划关闭后还能向cURL报告漏洞吗A可以的。
即使关闭漏洞悬赏计划如果发现真正的漏洞无论是否使用AI帮助cURL维护者仍然希望了解这些漏洞。
但前提是必须遵循相关规则特别是AI使用规则否则将无法为cURL项目做出贡献。