挡不住 AI 伪漏洞“轰炸”，Node.js 宣布暂停发放安全赏金

因为 AI 生成的假漏洞报告层出不穷，知名开源项目 Node.js 官方宣布，暂时停止通过 HackerOne 平台向提交者发放现金赏金。

漏洞赏金平台 HackerOne 表示，近年有大量用户借助 AI 工具批量扫描并提交漏洞报告。这种做法打破了开源生态的平衡：发现漏洞（或疑似漏洞）的速度远超开发者修复的进度；更糟的是，其中混杂了不少低质量、误报，甚至伪造的内容。

因此，HackerOne 的“互联网漏洞赏金计划”（IBB）已暂停接收新报告，这也直接切断了 Node.js 赏金的外部来源。

作为一个由社区志愿者主导的项目，Node.js 并没有独立预算来支付赏金。安全公司 Socket 指出，Node.js 实际上早已在调整应对机制：

• 审核负担：每条报告都需要维护者投入大量精力核实，而 AI 生成的低质内容极大浪费了志愿者的时间。

• 门槛提高：为抵御“AI 轰炸”，项目组曾大幅提升提交门槛，但仍难以抵挡自动化工具的冲击。

奖金暂停，流程照常

Node.js 强调，虽然奖金暂停，但安全保障并不会“打折”：

• 提交流程：研究人员仍可通过 HackerOne 提交漏洞。

• 处理优先级：团队将维持原有的响应速度与补丁发布流程，确保项目安全性。

Node.js 并非个例。今年 1 月，知名网络工具 cURL 也因遭遇 AI 生成报告的“密集轰炸”而被迫叫停赏金计划。这表明，在生成式 AI 普及后，传统的开源激励机制正面临系统性挑战：如何筛选出真正有价值、专业的反馈，已成为开源社区亟待解决的难题。