备受瞩目的开源数据传输库 curl 近日正式宣布，将于 2026 年 1 月底全面终止其漏洞赏金（Bug Bounty）计划。届时，研究人员提交的新安全漏洞将不再获得任何金钱奖励。曾经依靠发现有效漏洞获取奖金的机制，即将正式落幕。这一决策背后的主要推动力，是项目维护团队被生成式 AI 批量制造的低质量漏洞报告压得不堪重负。

随着大语言模型与自动化扫描工具的普及，大量所谓的“安全漏洞报告”根本算不上真实缺陷，而是 AI 凭空编造的假象，或是毫无实际危害的误报。这些报告表面上逻辑完整、术语专业，实则对安全加固毫无帮助，却迫使维护人员耗费大量精力去甄别、复现和驳回。curl 创始人兼核心维护者 Daniel Stenberg 直言不讳：这些“AI 垃圾（AI slop）”已经严重拖累了团队的工作节奏与响应能力。

当然，赏金机制的终止并不意味着社区不再欢迎漏洞反馈。项目团队仍然鼓励大家提交高质量、可复现、且具有真实安全影响的漏洞报告。维护团队希望社区开发者继续深入参与代码审查、风险评估和修复验证。取消经济奖励，关键目的之一正是遏制那些为套取奖金而进行的规模化虚假提交，从而把人力解放出来，聚焦在真正紧迫的安全问题上。

安全专家 Joshua Rogers 等人指出，短期内这一做法可能会让部分研究者的积极性受挫；但从整个生态系统健康度的角度来看，它有望大幅减少无效报告的占比，优化漏洞处理流程，最终提升开源项目的可持续安全治理水平。