事件概述 - 开源数据传输工具curl的创始人兼首席开发者Daniel Stenberg宣布，将于2026年1月31日正式停止其自2019年启动的漏洞赏金计划，并删除项目中所有与漏洞赏金及HackerOne平台相关的内容[2][8][9] 事件核心原因 - 项目维护团队规模小、精力有限，无法应对大量低质量漏洞报告的冲击，为维持项目运行及维护者心理健康而做出调整[5] - AI生成工具的普及导致漏洞报告质量急剧下滑，大量报告表面专业但实际毫无价值，严重消耗了维护团队的评估时间与精力[5][18] - 2025年情况恶化，AI生成的垃圾报告约占所有提交的20%，而全年提交的报告中只有约5%被证实为真实漏洞，该比例相比往年大幅下降[22] - 安全团队仅由7名成员组成，每份报告通常需要3到4名审查者共同评估，耗时从30分钟到3小时不等，对兼职维护者造成了巨大时间压力[25][26][27] 对项目运营的具体影响 - 在决定关闭计划前的一周内，团队在16个小时内收到了7份问题报告，处理验证耗费大量时间，但最终没有一份构成真正的安全漏洞[30][31] - 安全问题在项目优先级中最高，低质量报告会打断开发者的其他工作，导致安全未提升、bug未修复、新功能未推进，却耗尽了团队精力[18] - 自2019年启动至计划终止，该漏洞赏金计划共发放了81笔奖励，总额超过9万美元[24] 行业影响与讨论 - 此事件在社区引发广泛讨论，有观点认为取消计划是“治标不治本”，并对整个漏洞赏金行业的未来表示担忧，指出平台对低质量“猎人”几乎无能为力[5][6] - 事件揭示了当内容“生成”变得过于廉价时，原本依赖信任和专业判断的机制（如漏洞赏金）可能开始失效，这是AI生成内容泛滥冲击专业领域的早期信号[40] - 开源项目维护者面临的核心问题已超越技术层面，扩展到精力分配、情绪消耗以及项目能否持续生存的挑战[41] 后续措施与立场 - 自2026年2月1日起，curl将不再通过HackerOne接收新漏洞报告，改为通过GitHub提交安全相关问题[9] - 团队在官方“Security.txt”文件中强硬声明，将对提交毫无价值报告、浪费其时间的用户采取封禁账号并公开点名嘲讽的措施[10] - 创始人Stenberg认为，公开曝光和讨论那些浪费维护者时间的行为是一种有效的信息传递方式，旨在警示人们不应提交自己不理解或无法复现的问题报告[35][36][37] - 团队并未完全否定AI工具的价值，曾肯定研究人员使用AI工具（如ZeroPath）帮助修复了22个漏洞的案例，强调问题在于使用者是否理解工具输出，而非工具本身[39][40]