Node.js 暂停漏洞赏金：AI 虚假报告压垮开源志愿者

近日，Node.js 官方宣布暂停通过 HackerOne 平台发放现金漏洞奖励。这一决定并非因为安全形势好转，恰恰相反——是因虚假报告泛滥，让本就人手紧张的志愿者团队不堪重负。

漏洞赏金平台 HackerOne 表示，过去两年，来自 AI 工具的自动化报告激增。这些报告大多由大模型扫描开源代码后自动生成，内容空洞、误报率极高，甚至出现“把注释当漏洞”“把标准行为当缺陷”的荒谬案例。一位 Node.js 核心维护者透露：“我们每天收到的报告中，超过80%是垃圾。每审一份，至少要花15分钟查证，而真正有效的，一个月都凑不齐五条。”

奖金停了，但漏洞照收

Node.js 强调，暂停的是“奖金”，不是“通道”。研究人员仍可通过 HackerOne 提交漏洞，团队也会继续评估、响应和修复。补丁发布节奏、安全公告流程、CVE 分配机制，一切照旧。换句话说：你还能报，但别指望拿钱了。

这一调整背后，是现实的无奈。Node.js 作为全球最流行的 JavaScript 运行时，由超过千名志愿者维护，没有公司背书，也没有专职安全团队。所有审核、测试、修复工作，都是业余时间完成的。HackerOne 的“互联网漏洞赏金计划”（IBB）原本是其主要资金来源，如今该计划已全面暂停接收新报告，Node.js 的赏金池自然枯竭。

不只是 Node.js：开源生态正在“被AI淹没”

这不是孤例。2024年1月，知名网络工具 cURL 也因遭遇 AI 报告海啸，宣布永久关闭赏金计划。开发者 Mathias Karlsson 在博客中写道：“我花了一周时间，删了372条AI生成的‘漏洞’，其中一条说‘你们的代码没用UTF-8，是安全风险’——可我们的文档里明明写着‘支持UTF-8’。”

类似情况正在多个开源项目蔓延。React、OpenSSL、Redis 等热门项目的核心成员私下表示，已开始手动过滤报告来源，甚至要求提交者附上复现视频或手动测试步骤，以区别真人与AI。

志愿者的愤怒：我们不是AI的测试沙盒

安全公司 Socket 的研究指出，AI 报告的泛滥，正在摧毁开源社区的信任基础。许多资深安全研究员因不堪其扰，已退出 HackerOne 平台。一位曾连续三年贡献高质量报告的独立研究员说：“我花了两年时间建立信誉，现在却被一堆AI生成的‘漏洞’拖进泥潭。没人再认真看我的报告了。”

更深层的问题是：当开源项目成了AI的“练功场”，谁来为真正有价值的安全研究买单？传统“发现-奖励”模式，在生成式AI面前已失效。社区呼吁平台方改革机制——比如引入“报告质量评分”“提交者信誉体系”“人工复核前置”等措施，而非简单地一刀切停掉奖金。

未来：开源安全，该由谁负责？

目前，HackerOne 尚未公布任何针对AI报告的系统性解决方案。而 Node.js 的决定，像一面镜子，映照出整个开源生态的结构性危机：当技术进步让“发现漏洞”变得廉价，如何让“修复漏洞”不被廉价的噪音淹没？

对开发者而言，这不仅是钱的问题，更是尊严的问题。没有人愿意自己的心血，成为AI训练数据的牺牲品。或许，真正的安全，不是靠奖金激励，而是靠尊重与专业——而这一点，正被越来越多的开源项目重新拾起。