curl项目宣布终止HackerOne赏金计划：直面“AI垃圾报告”危机

近日，知名命令行工具curl的创始人Daniel Stenberg正式宣布，自2026年1月31日起，curl将终止在HackerOne平台上的漏洞赏金计划。这一决定并非出于资金或资源不足，而是为了应对近年来愈演愈烈的“AI生成虚假漏洞报告”问题——开发者们称之为“AI Slop”（AI垃圾）。

这些报告通常结构完整、术语专业，甚至附带看似严谨的PoC（概念验证）代码，但细究之下，大多是对curl源码的浅层浏览后自动生成的误报。例如，将正常配置选项误判为“信息泄露”，或把已修复多年的旧问题重新提交。Stenberg透露，在2026年1月的16小时内，团队就收到7份完全无效的报告；而仅2026年前两个月，累计提交量已达20份，其中95%以上经人工核查后确认为无实质内容。

“我们不是拒绝安全研究，而是拒绝浪费生命。”Stenberg在个人博客中写道，“一个只有3名核心维护者的开源项目，每天要花数小时处理这些机器人生成的噪音。这不仅拖慢了真实漏洞的响应速度，更让志愿者们疲惫不堪，甚至开始怀疑自己的专业判断。”

从2026年2月1日起，curl将不再接受任何通过HackerOne提交的漏洞报告，也不再提供任何形式的现金奖励。所有安全问题请直接通过GitHub Issues提交，并在标题前加上“[SECURITY]”标签。项目方明确表示，将优先处理经人工验证、有详细复现步骤、且来自可追溯身份的研究者报告。

为遏制滥用行为，curl已在项目官网的security.txt文件中新增强硬条款：“提交垃圾报告者，将被永久列入项目黑名单。重复行为将导致GitHub账号封禁，并可能在项目公告中被公开点名。”这一措辞在开源社区引发热议，不少开发者表示支持：“与其让好人被噪音淹没，不如让机器知道这里不欢迎滥报。”

值得注意的是，curl并非孤例。近年来，包括OpenSSL、FFmpeg、Redis在内的多个开源项目都报告了AI生成漏洞报告激增的现象。2025年《开源安全报告》显示，超过68%的中小型开源项目遭遇过AI自动生成的无效漏洞提交，其中32%的项目因此暂停或缩减赏金计划。curl的决定，或许标志着开源安全生态的一次重要转折。

对于安全研究人员，Stenberg给出了明确建议：“如果你真想帮忙，请先读文档、跑测试、查历史issue。真正的漏洞，不会藏在自动生成的模板里。”