知名开源数据传输库 curl 宣布将正式结束其漏洞赏金(bug bounty)计划。自 2026 年 1 月底起,所有新提交的安全漏洞将不再附带任何金钱奖励。此前,研究人员可通过发现并报告有效漏洞获得相应奖金,但该激励机制现已终止。此次决策的主要动因,是项目维护团队持续承受着由生成式 ai 批量生成的低质量漏洞报告所带来的沉重压力。
随着大语言模型与自动化扫描工具的广泛应用,大量所谓“安全漏洞报告”实则并非真实存在的缺陷,而是 AI 输出的虚构内容或缺乏实际危害的误报。这类报告虽表面逻辑完整、术语规范,却无法推动实质性的安全加固,反而迫使维护人员投入大量时间进行甄别、复现与驳回。curl 创始人兼核心维护者 Daniel Stenberg 明确表示:这些“AI垃圾(AI slop)”已严重拖累团队的工作节奏与响应能力。
尽管赏金机制退出历史舞台,项目仍持续欢迎高质量、可复现且具备真实安全影响的漏洞反馈。维护团队呼吁社区开发者继续深入参与代码审查、风险评估与修复验证工作。取消经济激励的关键目标之一,正是遏制以套取奖金为目的的规模化虚假提交,从而释放人力,聚焦于真正紧迫的安全议题。
安全专家 Joshua Rogers 等业内人士指出,短期内此举或可能削弱部分研究者的积极性;但从整体生态健康度出发,此举有望显著降低无效报告占比,优化漏洞处理流程,最终提升开源项目的可持续安全治理水平。
推荐阅读:curl 创始人被 AI 垃圾“逼疯了”curl 2025 年度总结:commit 超过 3400 次、发布 8 个版本
源码地址:点击下载
