作者｜冬梅、核子可乐

近日，curl 项目（一款用于通过 URL 传输数据的命令行工具和库）创始人 Daniel Stenberg 在领英发帖称，已经受够了由 AI 生成的大量“垃圾”漏洞报告，因此近期引入额外复选框，用以过滤此类平白浪费维护人员时间的低效提交内容。

1curl 创始人被 AI 垃圾“逼疯了”

Stenberg 表示，项目维护人员需要花费大量时间对每一份通过 HackerOne 提交的 AI 辅助漏洞报告进行分类，但往往发现这些报告的内容一无可取， 在效果上约等于针对项目发起的 DDoS 攻击。

Stenberg 在 LinkedIn 上引用了近期一份“令他忍无可忍”的报告，并表示“到此为止吧，我受够了。我要坚决制止这种疯狂行为。”

在 HackerOne 上提交 curl 相关安全报告有了一些新规定，例如所有通过 HackerOne 提交 Curl 安全报告的研究人员，现在必须回答以下问题：

“您是否使用 AI 来发现该漏洞或生成此报告？”

如果选择“是”，bug 报告者将会面临一连串后续问题，包括要求他们提供相关证据以证明该 bug 真实存在，而后 curl 团队才会花时间加以验证。

Stenberg 补充道，“现在，我们会立即封禁所有被认定为提交 AI 垃圾内容的报告者。这种情况对我们的骚扰已经达到临界点，在事实上造成了类似 DDoS 攻击的效果。如果可以，我真想向他们收取费用，以弥补这种平白浪费我们时间的行为。”

最主要的是， Stenberg 接着表示，该项目从未收到过任何使用 AI 生成的有效 bug 报告，而且垃圾报告的比例一直在持续上升。

Stenberg 回复一位关注者称，“几年前并不存在这样的报告，但如今其比例似乎在不断上升。尽管还没有彻底吞没我们，但趋势已经相当严峻。”

2开源维护者正被 AI 生成的 bug 报告淹没

这种担忧由来已久。Python 开发团队的 Seth Larson 早在去年 12 月就对此类 AI 漏洞报告表达过担忧。他表示回应这些报告既费钱又费时， 毕竟从表面上看其内容似乎煞有介事，必须经过专业审查才能确认其真实性。

Larson 写道，“这些纯属浪费时间的安全报告带给维护人员的不只是困惑、压力和沮丧，更糟糕的是，由于此类报告的保密性质，他们还会产生一种强烈的孤独感。这种种负面感受叠加起来，最终加剧了开源项目中这群备受依赖的贡献者们的倦怠情绪。”

“从各个方面来看，这些低质量的报告都应该被视为恶意内容。即使并非出自本意，结果仍然会导致维护人员身心俱疲，甚至抗拒从事正常的安全工作。

Larson 认为，低质量的报告应该被视为恶意报告。

垃圾、低质量的网络内容早在聊天机器人出现之前就已存在，但 AIGC 模型让这类内容的产生变得更加容易，其结果是新闻业、网络搜索，还有社交媒体都糟到了不同程度的污染。

对于开源项目而言，AI 辅助生成的漏洞报告危害尤甚，因为这些报告仍需占用安全工程师（其中很多是志愿者）本已十分有限的审阅和评估时间。

Larson 针对 AI 生成漏洞报告的问题发出了深刻警示，他指出，Python 和 pip 生态系统中出现的问题具有典型性和扩散性特征，很可能在其他开源项目中以更严重的程度重现。

这一警告背后反映的是对开源维护者群体的深切担忧——那些独立支撑项目安全的维护者们正面临前所未有的挑战。当这些维护者缺乏对 AI 生成报告泛滥现状的认知时，他们宝贵的审阅时间就会被大量虚假报告所吞噬。

这种状况造成的恶性循环尤为严重：志愿者被迫将有限精力耗费在毫无价值的报告审核上， 这种持续的精神消耗和成就感缺失，最终将导致维护者群体出现职业倦怠甚至大规模流失。

面对这一严峻形势，Larson 强调，开源社区必须采取前瞻性行动来遏制潜在危害的扩大。

Larson 特别指出，单纯依赖技术升级无法从根本上解决问题，开源安全领域需要进行系统性变革。当前由少数维护者承担主要安全责任的模式已难以为继，必须建立更加规范化、透明化的贡献监管体系。

当然，这一改革需要回答一个核心命题：如何构建更健康、可持续的开源参与机制？

Larson 提出了两个关键路径：其一是通过资金支持（如 Alpha-Omega 等专项资助计划）来提升项目可持续性；其二是鼓励更多专业人士贡献工作时间，形成多元化的参与格局。

那具体到底要怎么做？Larson 向开源社区各方发出了呼吁，也就是 bug 提交者和漏洞管理平台应该各尽其责。

对于漏洞提交者，Larson 强调必须恪守专业伦理，杜绝直接提交未经人工核实的 AI 生成报告，因为现有 AI 技术尚不具备真正的代码理解能力。

对于漏洞管理平台，则要求其承担起守门人责任，通过技术手段和管理制度双重约束，尽可能去遏制自动化工具滥用和恶意报告泛滥的现象。

3有人利用漏洞赏金钻空子，AI 成了“帮凶”

尽管之前几年 Stenberg 曾公开表示添加 AI 过滤器不是个好主意，在如今汹涌而来的 HackerOne 报告面前似乎也已别无他法。

早在 2024 年 1 月，Stenberg 就曾提出过这个问题，称用谷歌 Bard（即如今的 Gemini）生成的报告虽然质量稍好、但也同样是“垃圾”。

近一年之后，Larson 也提出了相同的观点——AI 报告的内容乍看之下似乎合理，但经过认真研究之后却会发现往往只是幻觉的产物。

这个问题对于 curl 和 Python 这类开源软件项目尤其有害，因为它们很大程度上依赖于少数无偿志愿专家的投入来帮助改进。

开发人员在开源项目中来了又走，短暂的停留只为修复自己报告的 bug 或者其他功能。

截至本文撰稿时，curl 网站显示自 Stenberg 于 1998 年创立该项目以来，至少有 3379 人为该项目做出过个人贡献。

Curl 为发现并报告项目中关键漏洞的上报者提供最高 9200 美元的赏金，自 2019 年以来已经支付过 8.6 万美元奖励金。

根据项目 HackerOne 页面公布的信息，在过去 90 天内其共收到 24 份报告，但均未获得奖励金。正如 Stenberg 在其 LinkedIn 帖子中所言，在过去六年间，所有由 AI 辅助提交的报告都没能发现真正的漏洞。

生成式 AI 工具让那些了解漏洞赏金计划的低技能人士有了机会，他们会利用 AI 生成内容快速提交报告，指望着从中快速获利。

然而，Stenberg 表示利用 AI 碰运气申请赏金奖励的可不只是新手和骗子——不少拥有一定声誉的参与者也加入了这一行列。

两天前收到的报告让这位项目创始人的怒火彻底爆发——这是一份极其典型、毫无营养的 AI 生成材料。

这份报告宣称“发现了一个利用 HTTP/3 协议栈中流依赖项循环的新型漏洞，此漏洞会导致内存损坏，并可能引发拒绝服务或者远程代码执行攻击。”

但最终证明，其内容指向的是一些根本不存在的函数。

Stenberg 怒斥道，“让人困惑的是，它听起来似乎像模像样，而且报告者确实拥有良好的「声誉」（意味着此人之前曾经做过报告，而且不少上报内容都经过了审查并被认定为有效）。当然，那天我们正好忙于准备 curl 年度大会，各种事情赶在一起最终激化了矛盾。”

4网友怎么看？

当越来越多的漏洞报告开始由 AI 自动生成并涌入开源社区，开发者们彻底慌了。因为许多 AI 生成的报告看起来十分专业，导致开发者陷入无休止的验证和澄清工作——就像在沙子里淘金，效率极低且令人疲惫。这种趋势正在消耗开源社区最宝贵的资源：开发者的时间和耐心。

Stenberg 和 Larson 两位大佬的遭遇在社区中引发了大量共鸣。

在 Hacker News 上，有用户表示，这种 AI 生成的漏洞报告很像社交媒体时代的典型困境，但放在技术层面，造成的后果要严重得多：

“我们正被海量的虚假信息所淹没。每一条荒谬言论都需要耗费大量时间和精力去澄清和反驳，但就在我们忙于证伪某一条谣言的同时，又有十条新的谣言在网络上疯狂传播。更糟糕的是，那些传播谣言的人往往毫不在意事实真相——即便某条谣言被证明是彻头彻尾的谎言，他们也会立即转向下一条"看起来真实"的谣言，如此循环往复，永无止境。

这种恶性循环不仅消耗着社会各界的注意力资源，更在无形中侵蚀着公共讨论的诚信基础。但区别在于，你可以忽略社交媒体，几乎不会带来什么负面影响。但忽略错误报告的风险可能要大得多。”

还有用户指出，AI 生成的 bug 报告耗光了开发者的心力或许还不是最糟糕的，更糟糕的是高层管理者他们相信了 AI。

“当前最严重的问题在于，企业高层被‘AI 替代论’所蛊惑，天真地认为可以裁撤资深程序员，转而依赖应届毕业生在 AI 辅助下完成同等工作。这种危险的认知正在技术行业蔓延。

虽然目前造成的混乱尚属可控，清理起来相对容易，但随着越来越多高管被 AI 鼓吹者的美好承诺所迷惑，事态正在加速恶化。这绝非危言耸听——我们正目睹一场真实发生的系统性混乱。

在开源社区，我们采取更务实的应对方式：当收到明显由 AI 生成的漏洞报告时（这类报告往往特征显著），我会先给予提交者一次改正机会，耐心解释为何这种做法有害。但如果他们再次提交类似内容，我会毫不犹豫地将这些‘技术噪音’彻底过滤——这不仅是效率问题，更是对社区质量的必要捍卫。”

还有用户在怀疑，这是否是恶意竞争的“阴谋论”，这位用户质疑道：”这些 AI 垃圾层出不穷，到底是哪里来的，难道它们背后有“资助者”？

“这个问题的核心在于：这些项目的资金究竟从何而来？如果存在某个所谓的‘草根组织’在背后资助，而其真实目的是通过资助手段来扼杀尽可能多的开源项目——特别是那些与其自身运营项目存在竞争关系的开源项目——我丝毫不会感到意外......”

上述用户的质疑得到了另一位用户的解答。

“没人资助他们。这些利用 AI 提交 bug 报告的人可能都是些新手，要么想‘帮忙’，要么想出人头地。他们不明白，在开源软件领域有几十年经验的人，在打开邮件之前就能嗅出些‘猫腻’。他们也不明白，要学会走，就得先学会爬。”

参考链接：

https://www.theregister.com/2025/05/07/curl_ai_bug_reports/

https://www.theregister.com/2024/12/10/ai_slop_bug_reports/

声明：本文为 InfoQ 整理，不代表平台观点，未经许可禁止对全文或部分内容进行转载。