作者｜冬梅、核子可樂

近日，curl 項目（一款用于通過 URL 傳輸數據的命令行工具和庫）創始人 Daniel Stenberg 在領英發帖稱，已經受夠了由 AI 生成的大量“垃圾”漏洞報告，因此近期引入額外復選框，用以過濾此類平白浪費維護人員時間的低效提交內容。

1 curl 創始人被 AI 垃圾“逼瘋了”

Stenberg 表示，項目維護人員需要花費大量時間對每一份通過 HackerOne 提交的 AI 輔助漏洞報告進行分類，但往往發現這些報告的內容一無可取，在效果上約等于針對項目發起的 DDoS 攻擊。

Stenberg 在 LinkedIn 上引用了近期一份“令他忍無可忍”的報告，并表示“到此為止吧，我受夠了。我要堅決制止這種瘋狂行為。”

在 HackerOne 上提交 curl 相關安全報告有了一些新規定，例如所有通過 HackerOne 提交 Curl 安全報告的研究人員，現在必須回答以下問題：

“您是否使用 AI 來發現該漏洞或生成此報告？”

如果選擇“是”，bug 報告者將會面臨一連串后續問題，包括要求他們提供相關證據以證明該 bug 真實存在，而后 curl 團隊才會花時間加以驗證。

Stenberg 補充道，“現在，我們會立即封禁所有被認定為提交 AI 垃圾內容的報告者。這種情況對我們的騷擾已經達到臨界點，在事實上造成了類似 DDoS 攻擊的效果。如果可以，我真想向他們收取費用，以彌補這種平白浪費我們時間的行為。”

最主要的是，Stenberg 接著表示，該項目從未收到過任何使用 AI 生成的有效 bug 報告，而且垃圾報告的比例一直在持續上升。

Stenberg 回復一位關注者稱，“幾年前并不存在這樣的報告，但如今其比例似乎在不斷上升。盡管還沒有徹底吞沒我們，但趨勢已經相當嚴峻。”

2 開源維護者正被 AI 生成的 bug 報告淹沒

這種擔憂由來已久。Python 開發團隊的 Seth Larson 早在去年 12 月就對此類 AI 漏洞報告表達過擔憂。他表示回應這些報告既費錢又費時，畢竟從表面上看其內容似乎煞有介事，必須經過專業審查才能確認其真實性。

Larson 寫道，“這些純屬浪費時間的安全報告帶給維護人員的不只是困惑、壓力和沮喪，更糟糕的是，由于此類報告的保密性質，他們還會產生一種強烈的孤獨感。這種種負面感受疊加起來，最終加劇了開源項目中這群備受依賴的貢獻者們的倦怠情緒。”

“從各個方面來看，這些低質量的報告都應該被視為惡意內容。即使并非出自本意，結果仍然會導致維護人員身心俱疲，甚至抗拒從事正常的安全工作。

Larson 認為，低質量的報告應該被視為惡意報告。

垃圾、低質量的網絡內容早在聊天機器人出現之前就已存在，但 AIGC 模型讓這類內容的產生變得更加容易，其結果是新聞業、網絡搜索，還有社交媒體都糟到了不同程度的污染。

對于開源項目而言，AI 輔助生成的漏洞報告危害尤甚，因為這些報告仍需占用安全工程師（其中很多是志愿者）本已十分有限的審閱和評估時間。

Larson 針對 AI 生成漏洞報告的問題發出了深刻警示，他指出，Python 和 pip 生態系統中出現的問題具有典型性和擴散性特征，很可能在其他開源項目中以更嚴重的程度重現。

這一警告背后反映的是對開源維護者群體的深切擔憂——那些獨立支撐項目安全的維護者們正面臨前所未有的挑戰。當這些維護者缺乏對 AI 生成報告泛濫現狀的認知時，他們寶貴的審閱時間就會被大量虛假報告所吞噬。

這種狀況造成的惡性循環尤為嚴重：志愿者被迫將有限精力耗費在毫無價值的報告審核上，這種持續的精神消耗和成就感缺失，最終將導致維護者群體出現職業倦怠甚至大規模流失。

面對這一嚴峻形勢，Larson 強調，開源社區必須采取前瞻性行動來遏制潛在危害的擴大。

Larson 特別指出，單純依賴技術升級無法從根本上解決問題，開源安全領域需要進行系統性變革。當前由少數維護者承擔主要安全責任的模式已難以為繼，必須建立更加規范化、透明化的貢獻監管體系。

當然，這一改革需要回答一個核心命題：如何構建更健康、可持續的開源參與機制？

Larson 提出了兩個關鍵路徑：其一是通過資金支持（如 Alpha-Omega 等專項資助計劃）來提升項目可持續性；其二是鼓勵更多專業人士貢獻工作時間，形成多元化的參與格局。

那具體到底要怎么做？Larson 向開源社區各方發出了呼吁，也就是 bug 提交者和漏洞管理平臺應該各盡其責。

對于漏洞提交者，Larson 強調必須恪守專業倫理，杜絕直接提交未經人工核實的 AI 生成報告，因為現有 AI 技術尚不具備真正的代碼理解能力。

對于漏洞管理平臺，則要求其承擔起守門人責任，通過技術手段和管理制度雙重約束，盡可能去遏制自動化工具濫用和惡意報告泛濫的現象。

3 有人利用漏洞賞金鉆空子，AI 成了“幫兇”

盡管之前幾年 Stenberg 曾公開表示添加 AI 過濾器不是個好主意，在如今洶涌而來的 HackerOne 報告面前似乎也已別無他法。

早在 2024 年 1 月，Stenberg 就曾提出過這個問題，稱用谷歌 Bard（即如今的 Gemini）生成的報告雖然質量稍好、但也同樣是“垃圾”。

近一年之后，Larson 也提出了相同的觀點——AI 報告的內容乍看之下似乎合理，但經過認真研究之后卻會發現往往只是幻覺的產物。

這個問題對于 curl 和 Python 這類開源軟件項目尤其有害，因為它們很大程度上依賴于少數無償志愿專家的投入來幫助改進。

開發人員在開源項目中來了又走，短暫的停留只為修復自己報告的 bug 或者其他功能。

截至本文撰稿時，curl 網站顯示自 Stenberg 于 1998 年創立該項目以來，至少有 3379 人為該項目做出過個人貢獻。

Curl 為發現并報告項目中關鍵漏洞的上報者提供最高 9200 美元的賞金，自 2019 年以來已經支付過 8.6 萬美元獎勵金。

根據項目 HackerOne 頁面公布的信息，在過去 90 天內其共收到 24 份報告，但均未獲得獎勵金。正如 Stenberg 在其 LinkedIn 帖子中所言，在過去六年間，所有由 AI 輔助提交的報告都沒能發現真正的漏洞。

生成式 AI 工具讓那些了解漏洞賞金計劃的低技能人士有了機會，他們會利用 AI 生成內容快速提交報告，指望著從中快速獲利。

然而，Stenberg 表示利用 AI 碰運氣申請賞金獎勵的可不只是新手和騙子——不少擁有一定聲譽的參與者也加入了這一行列。

兩天前收到的報告讓這位項目創始人的怒火徹底爆發——這是一份極其典型、毫無營養的 AI 生成材料。

這份報告宣稱“發現了一個利用 HTTP/3 協議棧中流依賴項循環的新型漏洞，此漏洞會導致內存損壞，并可能引發拒絕服務或者遠程代碼執行攻擊。”

但最終證明，其內容指向的是一些根本不存在的函數。

Stenberg 怒斥道，“讓人困惑的是，它聽起來似乎像模像樣，而且報告者確實擁有良好的「聲譽」（意味著此人之前曾經做過報告，而且不少上報內容都經過了審查并被認定為有效）。當然，那天我們正好忙于準備 curl 年度大會，各種事情趕在一起最終激化了矛盾。”

4 網友怎么看？

當越來越多的漏洞報告開始由 AI 自動生成并涌入開源社區，開發者們徹底慌了。因為許多 AI 生成的報告看起來十分專業，導致開發者陷入無休止的驗證和澄清工作——就像在沙子里淘金，效率極低且令人疲憊。這種趨勢正在消耗開源社區最寶貴的資源：開發者的時間和耐心。

Stenberg 和 Larson 兩位大佬的遭遇在社區中引發了大量共鳴。

在 Hacker News 上，有用戶表示，這種 AI 生成的漏洞報告很像社交媒體時代的典型困境，但放在技術層面，造成的后果要嚴重得多：

“我們正被海量的虛假信息所淹沒。每一條荒謬言論都需要耗費大量時間和精力去澄清和反駁，但就在我們忙于證偽某一條謠言的同時，又有十條新的謠言在網絡上瘋狂傳播。更糟糕的是，那些傳播謠言的人往往毫不在意事實真相——即便某條謠言被證明是徹頭徹尾的謊言，他們也會立即轉向下一條"看起來真實"的謠言，如此循環往復，永無止境。 這種惡性循環不僅消耗著社會各界的注意力資源，更在無形中侵蝕著公共討論的誠信基礎。但區別在于，你可以忽略社交媒體，幾乎不會帶來什么負面影響。但忽略錯誤報告的風險可能要大得多。”

還有用戶指出，AI 生成的 bug 報告耗光了開發者的心力或許還不是最糟糕的，更糟糕的是高層管理者他們相信了 AI。

“當前最嚴重的問題在于，企業高層被‘AI 替代論’所蠱惑，天真地認為可以裁撤資深程序員，轉而依賴應屆畢業生在 AI 輔助下完成同等工作。這種危險的認知正在技術行業蔓延。 雖然目前造成的混亂尚屬可控，清理起來相對容易，但隨著越來越多高管被 AI 鼓吹者的美好承諾所迷惑，事態正在加速惡化。這絕非危言聳聽——我們正目睹一場真實發生的系統性混亂。 在開源社區，我們采取更務實的應對方式：當收到明顯由 AI 生成的漏洞報告時（這類報告往往特征顯著），我會先給予提交者一次改正機會，耐心解釋為何這種做法有害。但如果他們再次提交類似內容，我會毫不猶豫地將這些‘技術噪音’徹底過濾——這不僅是效率問題，更是對社區質量的必要捍衛。”

還有用戶在懷疑，這是否是惡意競爭的“陰謀論”，這位用戶質疑道：”這些 AI 垃圾層出不窮，到底是哪里來的，難道它們背后有“資助者”？

“這個問題的核心在于：這些項目的資金究竟從何而來？如果存在某個所謂的‘草根組織’在背后資助，而其真實目的是通過資助手段來扼殺盡可能多的開源項目——特別是那些與其自身運營項目存在競爭關系的開源項目——我絲毫不會感到意外......”

上述用戶的質疑得到了另一位用戶的解答。

“沒人資助他們。這些利用 AI 提交 bug 報告的人可能都是些新手，要么想‘幫忙’，要么想出人頭地。他們不明白，在開源軟件領域有幾十年經驗的人，在打開郵件之前就能嗅出些‘貓膩’。他們也不明白，要學會走，就得先學會爬。”

https://www.theregister.com/2025/05/07/curl_ai_bug_reports/

https://www.theregister.com/2024/12/10/ai_slop_bug_reports/

聲明：本文為 InfoQ 整理，不代表平臺觀點，未經許可禁止對全文或部分內容進行轉載。

大模型如何啃下客服 / 財務 / 營銷“硬骨頭”？

3 位技術負責人親授：從實驗室到生產環境的「最后一公里」，看大模型在三領域實踐，歡迎預約直播，屆時拍磚與交流。