科金社2025年07月20日 08:46消息,因AI生成虚假漏洞报告,cURL考虑停发安全赏金。
7月19日,开源网络工具cURL的开发者DanielStenberg在博客中表示,cURL的安全漏洞赏金计划(cURLBugBounty)遭到滥用,不少恶意人员利用AI工具批量生成虚假漏洞报告,企图骗取项目奖励。这使得cURL安全团队感到困扰,正在考虑未来是否继续维持该漏洞赏金计划。
自2019年以来,cURL的安全漏洞赏金项目已累计向81个发现安全漏洞的人员发放了9万美元(约合64.7万元人民币)的奖励。然而,随着赏金项目的影响力扩大,一些不怀好意的人开始利用AI工具制造大量虚假的“垃圾漏洞报告”,试图从中牟利。据透露,仅在上周,cURL收到的此类报告数量就达到平时的8倍,而其中绝大多数都被证实是不实信息。这种现象不仅增加了项目维护者的负担,也对真实的安全研究人员造成了干扰。
作为比较,cURL安全团队目前仅有7名成员,即便面对大量AI生成的漏洞报告,他们仍不敢有丝毫松懈,只能逐一花费30分钟到3小时进行验证,导致大量时间和精力被消耗。对此,DanielStenberg表示,如果情况持续恶化,团队可能不得不取消安全漏洞赏金计划。 在当前开源项目日益依赖社区协作与安全反馈的背景下,漏洞报告的数量激增本就对小团队构成巨大压力。而AI生成的报告往往真假难辨,进一步加剧了人工审核的负担。这种状况不仅影响团队效率,也可能削弱开发者和安全研究人员的积极性。若赏金计划被取消,可能会让一些真正有价值的漏洞难以被发现和修复,最终影响整个生态的安全性。因此,如何在保障安全的同时提升审核效率,成为亟需解决的问题。
留言评论
(已有 0 条评论)暂无评论,成为第一个评论者吧!