curl将中止漏洞赏金：AI内容污染成关键原因

广受推崇的开源数据传输工具 curl 近日正式宣布，将逐步终止其漏洞悬赏计划。自2026年1月底起，所有新提交的安全漏洞将不再附带任何现金奖励。此前，研究人员可通过发现并报告有效漏洞获得相应奖金，但这一激励机制现已画上句号。此次决策的主要动因，是项目维护团队持续承受着由生成式AI批量炮制的大量低质量漏洞报告所带来的沉重压力。

随着大语言模型与自动化扫描工具的广泛应用，大量所谓的“安全漏洞报告”实则并非真实存在的缺陷，而是AI输出的虚构内容或缺乏实际危害的误报。这类报告虽表面逻辑完整、术语规范，却无法推动实质性的安全加固，反而迫使维护人员投入大量时间进行甄别、复现与驳回。curl创始人兼核心维护者 Daniel Stenberg 明确表示：这些“AI垃圾”已严重拖累团队的工作节奏与响应能力。

尽管悬赏机制退出历史舞台，项目仍持续欢迎高质量、可复现且具备真实安全影响的漏洞反馈。维护团队呼吁社区开发者继续深入参与代码审查、风险评估与修复验证工作。取消经济激励的关键目标之一，正是遏制以套取奖金为目的的规模化虚假提交，从而释放人力，聚焦于真正紧迫的安全议题。

安全专家 Joshua Rogers 等业内同行指出，短期内此举或可能削弱部分研究者的积极性；但从整体生态健康度出发，此举有望显著降低无效报告占比，优化漏洞处理流程，最终提升开源项目的可持续安全治理水平。

推荐阅读：

curl创始人被AI垃圾“逼疯了”

curl 2025年度总结：commit超过3400次、发布8个版本

源码地址：【链接已移除】