知名开源工具cURL宣布终止安全赏金项目

1月22日，据报道，知名开源网络工具cURL的开发者丹尼尔·斯坦伯格近日宣布，由于持续遭受大量由人工智能生成的虚假安全漏洞报告“轰炸”，cURL安全漏洞赏金项目将于本月底正式终止。这项曾为81个真实漏洞发现者提供9万美元奖励的社区激励计划，最终因AI滥用问题不得不黯然收场。

斯坦伯格在声明中表示，自去年7月公开警告以来，AI生成的虚假报告数量不减反增，导致仅由7名成员组成的cURL安全团队不堪重负。每当收到漏洞报告，团队都需要投入大量时间进行验证，而绝大多数AI生成的内容最终被证实为完全虚构，严重消耗了本已有限的维护资源。

cURL作为广泛用于数据传输的命令行工具，其安全至关重要。赏金项目本意是鼓励社区参与，共同提升软件安全性，然而随着生成式AI工具的普及，恶意用户开始利用其批量制造看似专业、实则毫无根据的“漏洞报告”，试图骗取赏金。斯坦伯格坦言，这种趋势“还在不断增加”，迫使项目方决定终止计划，“以避免被AI洪流淹没”。

这一事件反映出开源社区在AI时代面临的新挑战。在降低虚假信息生成成本的同时，AI也给依靠志愿者维护的开源项目带来了辨别真伪与资源分配的压力。cURL的案例并非孤例，如何设计更能抵御AI滥用的激励机制，或将成为未来开源安全协作的重要议题。