curl 项目创始人被 AI“逼疯”，怒斥垃圾报告堪比 DDoS 攻击！网友：但老板们认为 AI 无...

AI前线 · 公众号 · AI · 2025-05-19 17:11

正文

Larson 针对 AI 生成漏洞报告的问题发出了深刻警示，他指出，Python 和 pip 生态系统中出现的问题具有典型性和扩散性特征，很可能在其他开源项目中以更严重的程度重现。

这一警告背后反映的是对开源维护者群体的深切担忧——那些独立支撑项目安全的维护者们正面临前所未有的挑战。当这些维护者缺乏对 AI 生成报告泛滥现状的认知时，他们宝贵的审阅时间就会被大量虚假报告所吞噬。

这种状况造成的恶性循环尤为严重：志愿者被迫将有限精力耗费在毫无价值的报告审核上，这种持续的精神消耗和成就感缺失，最终将导致维护者群体出现职业倦怠甚至大规模流失。

面对这一严峻形势，Larson 强调，开源社区必须采取前瞻性行动来遏制潜在危害的扩大。

Larson 特别指出，单纯依赖技术升级无法从根本上解决问题，开源安全领域需要进行系统性变革。当前由少数维护者承担主要安全责任的模式已难以为继，必须建立更加规范化、透明化的贡献监管体系。

当然，这一改革需要回答一个核心命题：如何构建更健康、可持续的开源参与机制？

Larson 提出了两个关键路径：其一是通过资金支持（如 Alpha-Omega 等专项资助计划）来提升项目可持续性；其二是鼓励更多专业人士贡献工作时间，形成多元化的参与格局。

那具体到底要怎么做？Larson 向开源社区各方发出了呼吁，也就是 bug 提交者和漏洞管理平台应该各尽其责。

对于漏洞提交者，Larson 强调必须恪守专业伦理，杜绝直接提交未经人工核实的 AI 生成报告，因为现有 AI 技术尚不具备真正的代码理解能力。

对于漏洞管理平台，则要求其承担起守门人责任，通过技术手段和管理制度双重约束，尽可能去遏制自动化工具滥用和恶意报告泛滥的现象。

有人利用漏洞赏金钻空子，AI 成了“帮凶”

尽管之前几年 Stenberg 曾公开表示添加 AI 过滤器不是个好主意，在如今汹涌而来的 HackerOne 报告面前似乎也已别无他法。

早在 2024 年 1 月，Stenberg 就曾提出过这个问题，称用谷歌 Bard（即如今的 Gemini）生成的报告虽然质量稍好、但也同样是“垃圾”。

近一年之后，Larson 也提出了相同的观点——AI 报告的内容乍看之下似乎合理，但经过认真研究之后却会发现往往只是幻觉的产物。

这个问题对于 curl 和 Python 这类开源软件项目尤其有害，因为它们很大程度上依赖于少数无偿志愿专家的投入来帮助改进。

开发人员在开源项目中来了又走，短暂的停留只为修复自己报告的 bug 或者其他功能。

截至本文撰稿时，curl 网站显示自 Stenberg 于 1998 年创立该项目以来，至少有 3379 人为该项目做出过个人贡献。

Curl 为发现并报告项目中关键漏洞的上报者提供最高 9200 美元的赏金，自 2019 年以来已经支付过 8.6 万美元奖励金。

根据项目 HackerOne 页面公布的信息，在过去 90 天内其共收到 24 份报告，但均未获得奖励金。正如 Stenberg 在其 LinkedIn 帖子中所言，在过去六年间，所有由 AI 辅助提交的报告都没能发现真正的漏洞。

生成式 AI 工具让那些了解漏洞赏金计划的低技能人士有了机会，他们会利用 AI 生成内容快速提交报告，指望着从中快速获利。

然而，Stenberg 表示利用 AI 碰运气申请赏金奖励的可不只是新手和骗子——不少拥有一定声誉的参与者也加入了这一行列。

两天前收到的报告让这位项目创始人的怒火彻底爆发——这是一份极其典型、毫无营养的 AI 生成材料。

这份报告宣称“发现了一个利用 HTTP/3 协议栈中流依赖项循环的新型漏洞，此漏洞会导致内存损坏，并可能引发拒绝服务或者远程代码执行攻击。”