事件概述 - 开源数据传输工具curl的创始人兼首席开发者Daniel Stenberg宣布，将于2026年1月31日正式停止其自2019年启动的漏洞赏金计划，并删除项目中所有与漏洞赏金及HackerOne平台相关的内容[2][8][9] 事件核心原因 - 项目维护团队规模小、精力有限，无法应对大量低质量漏洞报告的冲击，为维持项目运行及维护者心理健康而做出调整[5] - AI生成工具的普及导致漏洞报告质量急剧下滑，大量报告表面专业但实际毫无价值，严重消耗了维护团队的评估时间与精力[5][18] - 2025年情况恶化，AI生成的垃圾报告约占所有提交的20%，而全年提交的报告中只有约5%被证实为真实漏洞，该比例相比往年大幅下降[22] - 安全团队仅由7名成员组成，每份报告通常需要3到4名审查者共同评估，耗时从30分钟到3小时不等，对兼职维护者造成了巨大时间压力[25][26][27] 对项目运营的具体影响 - 在决定关闭计划前的一周内，团队在16个小时内收到了7份问题报告，处理验证耗费大量时间，但最终没有一份构成真正的安全漏洞[30][31] - 安全问题在项目优先级中最高，低质量报告会打断开发者的其他工作，导致安全未提升、bug未修复、新功能未推进，却耗尽了团队精力[18] - 自2019年启动至计划终止，该漏洞赏金计划共发放了81笔奖励，总额超过9万美元[24] 行业影响与讨论 - 此事件在社区引发广泛讨论，有观点认为取消计划是“治标不治本”，并对整个漏洞赏金行业的未来表示担忧，指出平台对低质量“猎人”几乎无能为力[5][6] - 事件揭示了当内容“生成”变得过于廉价时，原本依赖信任和专业判断的机制（如漏洞赏金）可能开始失效，这是AI生成内容泛滥冲击专业领域的早期信号[40] - 开源项目维护者面临的核心问题已超越技术层面，扩展到精力分配、情绪消耗以及项目能否持续生存的挑战[41] 后续措施与立场 - 自2026年2月1日起，curl将不再通过HackerOne接收新漏洞报告，改为通过GitHub提交安全相关问题[9] - 团队在官方“Security.txt”文件中强硬声明，将对提交毫无价值报告、浪费其时间的用户采取封禁账号并公开点名嘲讽的措施[10] - 创始人Stenberg认为，公开曝光和讨论那些浪费维护者时间的行为是一种有效的信息传递方式，旨在警示人们不应提交自己不理解或无法复现的问题报告[35][36][37] - 团队并未完全否定AI工具的价值，曾肯定研究人员使用AI工具（如ZeroPath）帮助修复了22个漏洞的案例，强调问题在于使用者是否理解工具输出，而非工具本身[39][40]

核心观点 - 开源数据传输工具curl宣布将于2026年1月底正式终止其自2019年启动的漏洞赏金计划，原因是AI生成的大量低质量“垃圾漏洞报告”严重消耗了小型维护团队的精力，使其难以评估代码质量和维持项目发展 [1][3][5] 事件背景与决策 - curl创始人Daniel Stenberg于2026年1月通过GitHub提交明确表示将删除项目中所有与漏洞赏金和HackerOne平台相关的内容 [1] - 官方确认漏洞赏金计划将于1月31日正式终止，之后将不再通过HackerOne接收新报告，转而通过GitHub提交安全问题 [5][6] - 自2026年2月1日起，curl将不再通过HackerOne接收新的漏洞报告 [6] 问题根源：AI生成报告的冲击 - 过去两年，AI编码工具的快速普及导致curl收到的漏洞报告质量急剧下滑，许多人为了赏金随意提交AI生成的报告，这些报告表面专业但实际毫无价值 [3][12] - 2025年，AI垃圾报告已演变成无法忽视的现实问题，当年5月，创始人称项目“实际上正在遭受DDoS攻击” [17] - 截至2025年7月，AI垃圾报告大约占所有提交的20%，而当年提交的报告中只有约5%被证实为真实漏洞，比例相比往年大幅下降 [19] - 自2019年启动至2026年，该计划共发放81笔奖励，总额超过9万美元 [21] 对维护团队的影响 - curl是一个小型开源项目，活跃维护人员数量有限，安全团队只有7名成员 [3][21] - 每一份漏洞报告通常需要3到4名审查者共同评估，过程少则30分钟，多则3个小时，严重挤占了本已有限的维护时间 [21] - 创始人举例，在某一周开始的16小时内，团队通过HackerOne收到7份报告，处理验证花费大量时间，但最终没有一份构成真正的安全漏洞 [25] - 长期处理大量令人麻木的垃圾报告对维护者的情绪和心理健康造成了巨大消耗 [3][21] 行业影响与社区反应 - 该决定在社区引发广泛讨论，不少用户质疑取消计划是“治标不治本”，也有人认为这对整个漏洞赏金行业是一种耻辱 [3] - 有用户评论指出，平台在面对这些低质量“猎人”时几乎无能为力，对整个行业的未来感到担忧 [3] - 该事件被视为一个早期信号：当“生成”变得过于廉价，原本依赖信任和专业判断的机制可能开始崩溃 [34] 后续措施与立场 - curl团队在官方的“Security.txt”文件中强硬表示，如果有人用毫无价值的报告浪费其时间，会封禁账号并公开点名嘲讽 [8] - 创始人认为，公开曝光、讨论甚至嘲讽那些浪费维护者时间的行为，是一种有效的信息传递方式，旨在传达规则：如果不真正理解或无法复现漏洞，就不要提交报告 [30][31] - 团队并非反对一切AI辅助，曾公开表扬研究人员借助AI工具提交详尽漏洞清单，帮助修复了22个漏洞，认为这是“聪明人在善用强大的工具” [33] - 最糟糕的报告大多来自那些只会向AI提问却根本不理解答案的人 [33]

苹果漏洞赏金计划升级 - 苹果公司宣布对其漏洞赏金计划进行重大扩展和重新设计，将最高支出增加一倍，并引入更透明的奖励结构[2] - 自2020年该计划启动以来，苹果已向800名安全研究人员奖励了3500万美元[4] - 基础最高奖励已翻倍至200万美元，针对锁定模式等特定漏洞的奖励金额可增加一倍以上，最高可超过500万美元，苹果称此为业内前所未有的最高金额[5][6] - 对于影响较小但有效的报告，苹果也会颁发1000美元"鼓励奖"[8] 苹果产品安全漏洞奖励类别 - 通过物理访问进行设备攻击（如锁屏绕过、用户数据提取），奖励范围为5,000美元至250,000美元[5] - 通过用户安装的应用程序进行设备攻击（如未经授权访问敏感数据、特权提升），奖励范围为5,000美元至150,000美元[5] - 与用户交互的网络攻击（如一键未经授权访问敏感数据、一键提升权限），奖励范围为5,000美元至250,000美元[5] - 无需用户交互的网络攻击（如零点击无线电到内核、零点击未经授权访问敏感数据），奖励范围为5,000美元至500,000美元[5] 苹果公司运营动态 - 苹果中国官网出现低级错误，在AirPods 4介绍页面中将产品名称写错为"ArPods 4"，此前也曾将"iPhone"误写为"iPone"[9][11] - 知名爆料人指出苹果硬件工程高级副总裁约翰·特纳斯成为下一任CEO呼声最高的潜在接班人，因其50岁的年龄优势、技术专家背景以及库克的信任[12][15] - 特纳斯近期公众曝光度显著增加，主持发布了iPhone Air并在多场访谈中占据核心位置，其影响力已超越硬件工程主管的传统职责[15] iPhone 17系列市场表现 - 截至第40周（10月5日），苹果iPhone 17系列手机全系在国内累计激活量约为269.5万台[17] - 具体机型激活量为：iPhone 17 Pro Max约107.7万台，iPhone 17 Pro约97.06万台，iPhone 17约64.8万台，Pro系列机型包揽单品前两名[18] - 博主指出若非产能限制，iPhone 17系列的激活量可能会更多[17] 苹果公司财务与领导力 - 库克接手苹果时公司估值为3470亿美元，而如今公司估值已达到3.7万亿美元[15] - 库克在任期间苹果产品线与收入大幅扩张，iPhone 17也获得市场认可，但在混合现实、生成式AI、智能家居与自动驾驶等新兴技术领域进展被指迟缓[15]

AI生成内容对平台流量激励的影响 - 利用AI薅取内容平台流量激励成为网赚圈热门项目 AI技术使羊毛党从人力密集型转向技术杠杆型 [1] - 内容平台开展AI起号专项治理行动 打击利用AI进行账号批量生产的灰产链条 [1] - 内容领域通过AI薅取流量激励的难度显著增加 [1] AI生成虚假漏洞报告对开源项目的冲击 - curl项目创始人考虑停止漏洞奖金计划 过去半年收到大量AI生成的虚假漏洞报告 [3] - 项目维护者立即封禁提交AI垃圾内容的报告者 称其造成类似DDoS攻击的效果 [3] - Python开发团队同样担忧AI生成的安全漏洞报告 这些报告极度消耗维护者精力且需要专业审查 [3] 漏洞赏金计划的起源与市场价值 - 漏洞赏金计划成为软件行业普遍做法 几乎所有大厂都提供真金白银奖励 [4] - 漏洞赏金猎人成为特殊职业 利用技术钻研产品漏洞获取回报 [5] - 科技巨头为单个漏洞提供上万美元奖金 Zerodium公司2019年为Android漏洞支付250万美元 [6] - 谷歌2023年向漏洞赏金猎人发放超过1000万美元奖金 其中Android系统漏洞赏金达340万美元 [6] 漏洞赏金猎人的专业门槛与技术特点 - 漏洞赏金猎人需精通网络渗透和代码审计技术 具备绕过安全机制的创新思维 [7] - 常规测试方法发现的BUG已被测试团队排除 需通过非常规操作发现剩余漏洞 [7] - 工作思路以解构软件防护机制为核心 与常规程序员的开发思路截然不同 [9] AI技术对漏洞发现领域的变革 - 生成式AI使普通人能打造漏洞识别智能体 实现自动化代码获取和测试功能 [9] - 灰产团队利用公开漏洞报告和开源大模型 训练出专用AI模型生成形似度高的漏洞报告 [11][12] - AI生成的漏洞报告需经过代码审计和验证才能区分真伪 造成时间和资源浪费 [12] - 停止漏洞赏金计划可从根源降低AI虚假报告概率 没有赏金情况下提交漏洞者多属用爱发电 [12]