事件概述 - 开源数据传输工具curl的创始人兼首席开发者Daniel Stenberg宣布，将于2026年1月31日正式停止其自2019年启动的漏洞赏金计划，并删除项目中所有与漏洞赏金及HackerOne平台相关的内容[2][8][9] 事件核心原因 - 项目维护团队规模小、精力有限，无法应对大量低质量漏洞报告的冲击，为维持项目运行及维护者心理健康而做出调整[5] - AI生成工具的普及导致漏洞报告质量急剧下滑，大量报告表面专业但实际毫无价值，严重消耗了维护团队的评估时间与精力[5][18] - 2025年情况恶化，AI生成的垃圾报告约占所有提交的20%，而全年提交的报告中只有约5%被证实为真实漏洞，该比例相比往年大幅下降[22] - 安全团队仅由7名成员组成，每份报告通常需要3到4名审查者共同评估，耗时从30分钟到3小时不等，对兼职维护者造成了巨大时间压力[25][26][27] 对项目运营的具体影响 - 在决定关闭计划前的一周内，团队在16个小时内收到了7份问题报告，处理验证耗费大量时间，但最终没有一份构成真正的安全漏洞[30][31] - 安全问题在项目优先级中最高，低质量报告会打断开发者的其他工作，导致安全未提升、bug未修复、新功能未推进，却耗尽了团队精力[18] - 自2019年启动至计划终止，该漏洞赏金计划共发放了81笔奖励，总额超过9万美元[24] 行业影响与讨论 - 此事件在社区引发广泛讨论，有观点认为取消计划是“治标不治本”，并对整个漏洞赏金行业的未来表示担忧，指出平台对低质量“猎人”几乎无能为力[5][6] - 事件揭示了当内容“生成”变得过于廉价时，原本依赖信任和专业判断的机制（如漏洞赏金）可能开始失效，这是AI生成内容泛滥冲击专业领域的早期信号[40] - 开源项目维护者面临的核心问题已超越技术层面，扩展到精力分配、情绪消耗以及项目能否持续生存的挑战[41] 后续措施与立场 - 自2026年2月1日起，curl将不再通过HackerOne接收新漏洞报告，改为通过GitHub提交安全相关问题[9] - 团队在官方“Security.txt”文件中强硬声明，将对提交毫无价值报告、浪费其时间的用户采取封禁账号并公开点名嘲讽的措施[10] - 创始人Stenberg认为，公开曝光和讨论那些浪费维护者时间的行为是一种有效的信息传递方式，旨在警示人们不应提交自己不理解或无法复现的问题报告[35][36][37] - 团队并未完全否定AI工具的价值，曾肯定研究人员使用AI工具（如ZeroPath）帮助修复了22个漏洞的案例，强调问题在于使用者是否理解工具输出，而非工具本身[39][40]

核心观点 - 开源数据传输工具curl宣布将于2026年1月底正式终止其自2019年启动的漏洞赏金计划，原因是AI生成的大量低质量“垃圾漏洞报告”严重消耗了小型维护团队的精力，使其难以评估代码质量和维持项目发展 [1][3][5] 事件背景与决策 - curl创始人Daniel Stenberg于2026年1月通过GitHub提交明确表示将删除项目中所有与漏洞赏金和HackerOne平台相关的内容 [1] - 官方确认漏洞赏金计划将于1月31日正式终止，之后将不再通过HackerOne接收新报告，转而通过GitHub提交安全问题 [5][6] - 自2026年2月1日起，curl将不再通过HackerOne接收新的漏洞报告 [6] 问题根源：AI生成报告的冲击 - 过去两年，AI编码工具的快速普及导致curl收到的漏洞报告质量急剧下滑，许多人为了赏金随意提交AI生成的报告，这些报告表面专业但实际毫无价值 [3][12] - 2025年，AI垃圾报告已演变成无法忽视的现实问题，当年5月，创始人称项目“实际上正在遭受DDoS攻击” [17] - 截至2025年7月，AI垃圾报告大约占所有提交的20%，而当年提交的报告中只有约5%被证实为真实漏洞，比例相比往年大幅下降 [19] - 自2019年启动至2026年，该计划共发放81笔奖励，总额超过9万美元 [21] 对维护团队的影响 - curl是一个小型开源项目，活跃维护人员数量有限，安全团队只有7名成员 [3][21] - 每一份漏洞报告通常需要3到4名审查者共同评估，过程少则30分钟，多则3个小时，严重挤占了本已有限的维护时间 [21] - 创始人举例，在某一周开始的16小时内，团队通过HackerOne收到7份报告，处理验证花费大量时间，但最终没有一份构成真正的安全漏洞 [25] - 长期处理大量令人麻木的垃圾报告对维护者的情绪和心理健康造成了巨大消耗 [3][21] 行业影响与社区反应 - 该决定在社区引发广泛讨论，不少用户质疑取消计划是“治标不治本”，也有人认为这对整个漏洞赏金行业是一种耻辱 [3] - 有用户评论指出，平台在面对这些低质量“猎人”时几乎无能为力，对整个行业的未来感到担忧 [3] - 该事件被视为一个早期信号：当“生成”变得过于廉价，原本依赖信任和专业判断的机制可能开始崩溃 [34] 后续措施与立场 - curl团队在官方的“Security.txt”文件中强硬表示，如果有人用毫无价值的报告浪费其时间，会封禁账号并公开点名嘲讽 [8] - 创始人认为，公开曝光、讨论甚至嘲讽那些浪费维护者时间的行为，是一种有效的信息传递方式，旨在传达规则：如果不真正理解或无法复现漏洞，就不要提交报告 [30][31] - 团队并非反对一切AI辅助，曾公开表扬研究人员借助AI工具提交详尽漏洞清单，帮助修复了22个漏洞，认为这是“聪明人在善用强大的工具” [33] - 最糟糕的报告大多来自那些只会向AI提问却根本不理解答案的人 [33]