开源项目维护困境 - curl创始人Daniel Stenberg引入AI生成漏洞报告过滤机制，要求提交者声明是否使用AI并需提供证据验证[1][3] - 项目维护人员需耗费大量时间处理AI生成的无效报告，此类报告占比持续上升且从未发现真实漏洞[3][4][21] - curl项目自2019年支付8.6万美元漏洞赏金，但过去90天收到的24份AI生成报告均未获奖励[21] AI生成报告的行业影响 - Python开发团队Seth Larson指出AI报告导致维护者产生孤独感和职业倦怠，加剧开源人才流失[6][8] - 低质量AI报告被类比为DDoS攻击，消耗志愿者审阅时间并降低项目安全性[2][8][25] - 生成式AI降低漏洞赏金参与门槛，吸引低技能人士及部分有声誉者提交虚假报告牟利[22][24] 社区应对措施 - 开源社区需系统性改革，建立规范化贡献监管体系并增加资金支持（如Alpha-Omega计划）[9][10] - 漏洞管理平台需承担守门人责任，通过技术和管理手段遏制自动化工具滥用[13] - 开发者建议对明显AI生成的报告采取"一次警告+二次封禁"的过滤策略[28] 行业认知分歧 - 企业高层存在"AI替代论"误区，认为可裁减资深程序员依赖AI辅助开发[27] - 社区质疑AI垃圾报告背后存在恶意竞争，实际多为新手缺乏经验导致[28] - 开源项目维护模式脆弱性凸显，如curl仅靠3379名贡献者支撑26年[20]