知名漏洞赏金平台HackerOne近日宣布，由于AI辅助漏洞挖掘提升了覆盖范围与发现速度，导致开源生态出现变化：漏洞发现与修复的平衡被打破。自3月27日起，互联网漏洞赏金计划（Internet Bug Bounty，IBB）将不再接受新的漏洞提交，这一情况迅速波及多个开源项目。

Node.js发布声明指出，由于IBB暂停运营，其向漏洞报告者发放奖励的资金来源中断。Node.js是由志愿者自发维护的项目，没有专属预算用于漏洞赏金。在缺乏其他外部资金支持的情况下，他们将不再为漏洞报告者提供奖金。

尽管不再提供奖金，Node.js开发团队强调，现有的漏洞报告流程并未改变，仍欢迎研究人员通过HackerOne提交漏洞，并承诺将继续以同等重视程度维护Node.js的安全性。漏洞披露政策、响应时间以及补丁发布流程均保持不变。

IBB自2012年启动，由多家软件公司提供赏金支持，至今已发放超过150万美元奖励。其中80%的资金用于发现新漏洞，其余20%用于支持漏洞修复工作。

Node.js对IBB资金的依赖，在开源安全领域十分普遍。许多关键开源项目没有独立的漏洞赏金预算，而是像Node.js一样依赖外部资助。

安全公司Socket指出，在IBB停止资金支持前，Node.js已逐步调整赏金计划的运作方式，收紧了漏洞报告的准入标准。原因是过去赏金机制导致大量无效报告涌入，志愿者团队不得不耗费大量精力筛选，造成严重负担。

值得注意的是，Node.js并非唯一受AI抓漏冲击的开源项目。今年1月，Curl也宣布终止漏洞赏金计划，原因同样是AI生成的漏洞报告数量泛滥，严重影响了团队的工作效率。