AI 低质报告泛滥：知名开源项目 Curl 宣布停止漏洞赏金计划

广受使用的命令行工具curl的维护者近日表示，因频繁遭遇大量由 AI 拼凑、质量低劣的“伪漏洞”投稿，该项目将于2026年1月末正式终止在HackerOne平台开展的安全漏洞赏金活动。

curl的创始人Daniel Stenberg指出，这类被他称作“AI 垃料”（AI Slop）的投稿看似专业，实则没有有效价值，甚至让小型维护团队在审核上不堪重负。仅过去16小时就收到7份无效报告，2026年开年至今的累计提交已达到20条。

Stenberg强调，叫停赏金计划的核心意图是消除那种促使人们在未充分调研情况下草率提交的动力，从而守护维护者的心理健康，并让项目能长期稳定运转。

按照新的安排，curl自2026年2月1日起将不再对任何漏洞或错误支付赏金，也不会帮助研究者向其他渠道申请报酬。后续的安全事件将改为在 GitHub 直接提交。与此同时，项目在security.txt中明确提醒，若提交垃圾式报告，相关账号可能被封禁，甚至会遭到公开点名嘲讽。