AI生成漏洞报告对开源项目的冲击 - curl创始人Daniel Stenberg引入新规过滤AI生成的"垃圾"漏洞报告，要求提交者声明是否使用AI并封禁恶意提交者[1][2] - 开源项目维护者需花费大量时间审核AI生成的无效报告，这些报告占比持续上升但从未发现真实漏洞[2][13] - Python开发团队的Seth Larson指出AI报告导致维护者产生孤独感和倦怠情绪，应被视为恶意内容[3][5] 开源社区面临的系统性挑战 - 当前由少数维护者承担主要安全责任的模式难以为继，需建立规范化、透明化的贡献监管体系[6] - 开源项目可持续性需资金支持(如Alpha-Omega计划)和更多专业人士参与[6] - curl项目26年来有3379名贡献者，但核心维护者仍稀缺[12] 漏洞赏金计划被滥用现象 - curl为关键漏洞提供最高9200美元赏金，2019年以来支付8.6万美元[13] - 过去90天收到24份报告均无效，近6年所有AI辅助报告均未发现真实漏洞[13] - 部分拥有良好声誉的参与者也利用AI生成报告碰运气获取赏金[14] 行业影响与社区反应 - AI生成报告看似专业实则包含大量幻觉内容，消耗开发者宝贵时间[9][16] - 企业高层被"AI替代论"误导，认为可裁撤资深程序员依赖AI辅助工作[19] - 社区建议对明显AI生成的报告先教育后过滤，维护社区质量[19] 数据统计 - curl项目自1998年创立以来累计获得3379名贡献者[12] - 2019年以来支付漏洞赏金总额达8.6万美元[13] - 最近90天内收到24份无效漏洞报告[13]