开源软件库 cURL 正在取消其漏洞赏金计划,以应对大量由人工智能(AI)生成的低质量错误报告。这些报告给项目维护者带来了沉重的工作负担。尽管知名漏洞猎人 Joshua Rogers 支持此举,认为声誉而非金钱才是真正的激励,但他也承认,对于低收入地区的研究者来说,赏金仍然具有重要意义。
AI 报告泛滥成灾
cURL 及其他开源项目正面临一个日益严重的问题:被大量由 AI 生成的错误报告所淹没。这些报告中的绝大多数都是纯粹的无用信息,但维护者仍需花费大量时间来甄别和处理。
- 问题核心: 报告数量激增,但质量低下。
- 维护者负担: 审核这些被称为“AI 垃圾”(AI slop)的无效报告,占用了宝贵的开发和维护时间。
- 严重程度: cURL 的维护者 Daniel Stenberg 将此现象形容为“被上千份垃圾报告慢慢折磨致死”。
停止赏金以减少干扰
为了遏制这一趋势,cURL 决定自一月底起正式终止漏洞赏金支付。此举旨在消除那些为了金钱而提交低质量报告的动机。
“我们希望这能消除一些人向我们发送垃圾报告的动机。我们花了太多时间处理那些不真实、被夸大或被误解的发现。” — Daniel Stenberg,cURL 维护者
值得注意的是,并非所有 AI 辅助的报告都没有价值。据统计,cURL 曾收到过超过一百份有价值的 AI 辅助报告,并据此进行了代码修正。
知名漏洞猎人的支持
有趣的是,以使用 AI 工具寻找漏洞而闻名的猎人 Joshua Rogers 对此表示强烈支持,认为这是一个早该做出的决定。他本人虽然也使用 AI,但会在提交前进行严格的人工审核和补充。
他认为,取消赏金对发现真正重要的漏洞影响不大。
“这只是一种激励,但不是全部。寻找 cURL 漏洞的真正动力是随之而来的名望和声誉(品牌价值是无价的),而不是那几百或几千美元。”
- 主要激励: 对顶尖研究者而言,声誉的价值远超金钱。
- 赏金有限: 即使是 cURL 提供的最高一万美元赏金,对于有能力发现关键漏洞的专家来说,吸引力也有限。
赏金对部分研究者的重要性
尽管支持取消赏金,Joshua Rogers 也指出了一个不容忽视的现实:赏金对于不同地区的报告者价值并不对等。
“对于来自低社会经济地位地区的人们来说,在瑞典只够一顿午餐的奖励,对他们而言可能是巨大的。”
这个观点揭示了赏金计划的一个重要侧面:它为来自经济欠发达地区的安全研究者提供了重要的收入来源。因此,取消赏金可能会对这部分人群产生不成比例的负面影响。