AI 低质报告泛滥：知名开源工具 Curl 将停止漏洞赏金计划

热门命令行工具curl的维护者近日表示，因接连收到大量质量欠佳、由 AI 生成的伪漏洞提交，项目将于2026年1月底结束在HackerOne平台的安全漏洞赏金活动。

curl创始人Daniel Stenberg指出，这类被称为“AI 垃圾”（AI Slop）的内容看起来很专业，但缺少真正问题，反而让小型维护团队承受沉重的审核压力。仅过去16小时就出现7份无效提交，2026年开年以来已累计收到20份。

Stenberg 强调，停掉赏金计划的核心目的是减少人们在没充分研究的情况下急于上报的动机，保护开发者的心理健康，并保证项目能长期稳定发展。

按照新的安排，curl项目自2026年2月1日起将不再为任何错误或漏洞提供奖金，也不会协助研究人员从第三方获取补偿。后续的安全问题将改为直接在 GitHub 提交。与此同时，项目在security.txt中明确提示，若提交垃圾报告，相关用户可能会被封禁，严重者还可能被公开点名。