开放源码项目Curl因AI垃圾报告压力大决定停止漏洞赏金计划

发布时间：2026-01-23 11:42:48 | 责任编辑：张毅 | 浏览量：2 次

流行的命令行工具curl开发者近日宣布，由于收到大量低质量、由 AI 生成的虚假漏洞报告，该项目将于2026年1月底正式结束在HackerOne平台上的安全漏洞赏金计划。
curl创始人Daniel Stenberg表示，这些被称为“AI 垃圾”（AI Slop）的内容虽然听起来很专业，但实际上并无实质贡献，反而给规模较小的维护团队带来了沉重的审核压力。仅在最近的16小时内，团队就收到了7个无效报告，而2026年初至今的提交量已达20份。
Stenberg 强调，关闭该计划的主要目的是消除诱使人们提交未经充分研究的报告的动机，以保护开发者的心理健康并确保项目的可持续性。
根据更新后的计划，curl项目从2026年2月1日起将不再为任何报告的错误提供金钱奖励，也不会协助研究人员从第三方获取补偿。未来的安全问题将改为直接通过 GitHub 报告。此外，该项目在security.txt文件中明确警告，提交垃圾报告的用户可能会被封禁甚至受到公开嘲讽。