广受推崇的开源数据传输工具 curl 近日正式宣布,将逐步终止其漏洞悬赏计划。自2026年1月底起,所有新提交的安全漏洞将不再附带任何现金奖励。此前,研究人员可通过发现并报告有效漏洞获得相应奖金,但这一激励机制现已画上句号。此次决策的主要动因,是项目维护团队持续承受着由生成式AI批量炮制的大量低质量漏洞报告所带来的沉重压力。
随着大语言模型与自动化扫描工具的广泛应用,大量所谓的“安全漏洞报告”实则并非真实存在的缺陷,而是AI输出的虚构内容或缺乏实际危害的误报。这类报告虽表面逻辑完整、术语规范,却无法推动实质性的安全加固,反而迫使维护人员投入大量时间进行甄别、复现与驳回。curl创始人兼核心维护者 Daniel Stenberg 明确表示:这些“AI垃圾”已严重拖累团队的工作节奏与响应能力。

尽管悬赏机制退出历史舞台,项目仍持续欢迎高质量、可复现且具备真实安全影响的漏洞反馈。维护团队呼吁社区开发者继续深入参与代码审查、风险评估与修复验证工作。取消经济激励的关键目标之一,正是遏制以套取奖金为目的的规模化虚假提交,从而释放人力,聚焦于真正紧迫的安全议题。
安全专家 Joshua Rogers 等业内同行指出,短期内此举或可能削弱部分研究者的积极性;但从整体生态健康度出发,此举有望显著降低无效报告占比,优化漏洞处理流程,最终提升开源项目的可持续安全治理水平。
推荐阅读:
curl创始人被AI垃圾“逼疯了”
curl 2025年度总结:commit超过3400次、发布8个版本
源码地址:【链接已移除】
