由于接到大量外界通过AI生成的低质量漏洞报告，Curl项目维护者本周宣布终止漏洞赏金计划。

Curl是一款广受欢迎的开源、跨平台命令行网络数据传输工具，支持HTTP/HTTPS、FTP/FTPS、SCP/SFTP、SMTP/IMAP/POP3、DAP、SMB、MQTT等协议，可用于调用REST API、下载/上传文件、测试Web服务，以及进行安全研究和调试。

Curl创始人兼维护者Daniel Stenberg本周宣布，Curl漏洞报告赏金计划将于2026年1月31日终止。该项目将不再对任何外部提交的漏洞或错误提供任何形式的奖励，也不再协助通过其他渠道提交Curl问题的研究人员。Stenberg解释称，漏洞赏金计划被一些人恶意利用，伪造漏洞报告，给项目带来了不必要的负担和滥用。

Curl项目自2019年起，通过HackerOne、Internet Bug Bounty等主要平台实施漏洞报告赏金机制，以奖励报告curl及libcurl漏洞的研究人员。

但Stenberg上周表示，近期在16小时内收到7份漏洞报告，经过长时间审查后，发现没有一份是真实存在的漏洞。自2026年以来，该项目已收到20份此类报告。

例如，他曾与一位“研究人员”反复争论，之后他在社交媒体上公开讽刺对方使用AI生成的粗糙漏洞报告。虽然Stenberg未点名对方身份，但对方声称他的言论“毁掉了他们的职业生涯”。

Stenberg在另一篇社交媒体帖文中提到，Curl项目在2025年收到的漏洞报告数量超过其他开源项目，并形容其中许多是“垃圾信息”。

他指出，关闭漏洞赏金计划的主要目的是消除低质量、不严谨报告的诱因，无论这些报告是否由AI生成。当前泛滥的低质报告已对Curl安全团队造成重大负担。因此，这一决定旨在消除这些“噪音”，让真正有价值的报告更容易被提交和处理。

这意味着Curl项目将退出HackerOne平台。现有待审核的报告仍会继续处理，但自2026年2月1日起，Curl项目将不再通过HackerOne接收报告，而是要求研究人员直接通过GitHub提交问题。Stenberg表示，希望即使不再提供报酬，仍能收到真正有价值的漏洞报告。