AI 垃圾报告泛滥成灾:Curl 项目被迫关闭漏洞赏金计划

Q: AI 垃圾报告泛滥成灾:Curl 项目被迫关闭漏洞赏金计划

压垮骆驼的最后一根稻草 一个维护了26年的开源项目,最终败给了 AI 生成的垃圾内容。 2026年1月,开源界发生了一件标志性事件:全球装机量超80亿次的 curl 项目宣布终止其在 HackerOne 平台上的漏洞赏金计划。这不是因为资金枯竭,也不是项目不再重视安全,而是因为一个令人啼笑皆非的原因——AI 生成的垃圾报告已经多到让维护团队无法承受。 curl 创始人 Daniel Stenberg 在公告中直言不讳:仅仅16个小时内,团队就收到了7份毫无价值的 AI 生成报告。2026年开年至今不到一个月,无效提

压垮骆驼的最后一根稻草

一个维护了26年的开源项目,最终败给了 AI 生成的垃圾内容。

2026年1月,开源界发生了一件标志性事件:全球装机量超80亿次的 curl 项目宣布终止其在 HackerOne 平台上的漏洞赏金计划。这不是因为资金枯竭,也不是项目不再重视安全,而是因为一个令人啼笑皆非的原因——AI 生成的垃圾报告已经多到让维护团队无法承受。

curl 创始人 Daniel Stenberg 在公告中直言不讳:仅仅16个小时内,团队就收到了7份毫无价值的 AI 生成报告。2026年开年至今不到一个月,无效提交已达20份。这些报告表面上术语专业、格式规范,实际上却是彻头彻尾的空话连篇。

更讽刺的是,这些报告的生成者甚至懒得验证自己声称的”漏洞”是否真实存在。他们的目标只有一个:碰运气拿赏金。

AI 时代的新型寄生虫

所谓的”AI Slop”(AI 垃圾)已经成为开源社区的新型公害。这些内容有几个典型特征:

看起来很专业。**大量使用安全术语、CVE 编号格式、技术栈名称,甚至还会附上”概念验证代码”。普通人第一眼看上去,会觉得这是一份认真的安全研究报告。实际上毫无价值。**仔细审查就会发现,这些报告要么描述的场景根本不存在,要么是对公开文档的错误理解,要么是把正常功能当作漏洞。最离谱的是,有些报告甚至连基本的代码逻辑都没搞懂。数量呈指数级增长。**过去,安全研究人员提交报告需要真正投入时间研究代码、搭建测试环境、验证漏洞。现在,只需要把项目文档喂给 AI,让它生成几十份”漏洞报告”,然后批量提交,坐等中奖。成本几乎为零。

这种行为的本质是什么?用 AI 降低作恶成本,把审核负担转嫁给开源维护者。

小团队承受不起的审核成本

很多人可能不理解:为什么不能简单筛选掉这些垃圾报告?

现实远比想象中复杂。curl 这样的基础软件库,任何安全漏洞都可能影响数十亿设备。维护团队必须对每一份报告认真对待,哪怕它看起来很可疑。因为万一漏掉一个真实的严重漏洞,后果不堪设想。

这意味着,即使是明显的 AI 垃圾,维护者也必须:

✅️阅读完整报告
✅️理解声称的漏洞场景
✅️检查相关代码
✅️搭建测试环境验证
✅️撰写回复说明为何这不是漏洞

一份垃圾报告可能需要花费维护者1-2小时的时间。而 curl 项目的核心维护团队只有个位数的人员,他们还有日常开发、bug 修复、版本发布等大量工作要做。当垃圾报告的数量从每月几份增长到每周几份,再到每天就有多份时,审核工作已经占据了维护者大量的精力。这不是技术问题,而是精力和时间的绝对消耗。Stenberg 在公告中特别提到”保护开发者的心理健康”。**这不是矫情,而是现实。想象一下,你花了几十年时间维护一个服务全球的开源项目,却要每天应付一堆连基本功课都没做的投机者用 AI 生成的垃圾。这种挫败感和愤怒是难以想象的。

赏金机制的致命缺陷

漏洞赏金计划的初衷是好的:用金钱激励安全研究人员发现并负责任地披露漏洞。这在过去十年确实帮助无数项目发现了真实的安全问题。但 AI 的出现打破了这个机制的前提假设:提交报告需要付出实质性成本。

以前,一个安全研究人员要提交漏洞报告,需要:

✅️学习相关技术栈(时间成本)
✅️阅读和理解代码(脑力成本)
✅️搭建测试环境(技术成本)
✅️验证和重现漏洞(实验成本)

这些成本的存在,天然筛选掉了大部分投机者。只有真正有能力、愿意投入的人才会参与。现在呢?任何人都可以用 AI 在几分钟内生成看起来像模像样的漏洞报告。就算99%的提交都被拒绝,只要有1%碰巧蒙对了,投入产出比依然划算。

赏金机制从”奖励有价值的贡献”变成了”鼓励概率游戏”。

开源可持续性的新威胁

curl 关闭赏金计划,绝不是孤立事件。它揭示了开源生态正在面临的一个新威胁:AI 生成内容正在系统性地增加开源维护的成本。

不仅仅是漏洞报告,还有:

AI 生成的无效 Issue
AI 生成的低质量 Pull Request
AI 生成的重复问题
AI 生成的无意义评论

每一类垃圾内容都在消耗维护者的时间和精力。而开源项目的维护者,大多数都是用业余时间无偿贡献。当维护成本超过个人承受能力时,项目要么降低质量标准,要么直接停止维护。

这是整个开源生态的系统性危机。

curl 选择的应对方式是釜底抽薪:关闭赏金计划,消除金钱激励,让 AI 垃圾制造者失去动力。未来的安全问题将通过 GitHub 直接报告,不再提供任何金钱奖励。

这种做法会不会影响真实漏洞的发现?可能会。但 Stenberg 的决定透露出一个清晰的信号:与其被垃圾淹没,不如保持项目的可持续性。

一个更深层的警示

curl 事件折射出的,是 AI 时代一个更根本的问题:当生成成本趋近于零时,垃圾内容会呈指数级增长,最终淹没有价值的内容。维护了26年的项目,最终没有死于技术迭代,没有死于竞争压力,而是死于 AI 生成的垃圾报告。这是技术进步的黑色幽默,也是整个行业必须正视的严峻现实。