作者指出，2025年提交给curl的漏洞报告中，AI生成的无效内容（AI slop）显著增加，占比约20%，且人类提交的低质量报告（human slop）也在增多。这些无效报告导致真正漏洞的发现率大幅下降，2025年仅有约5%的提交被确认为真实漏洞。尽管curl的Bug Bounty计划自2019年以来成功修复了81个漏洞，但无效报告的激增严重影响了项目的效率和效果。

文章《Death by a thousand slops》主要讨论了curl项目在2025年面临的AI生成漏洞报告（AI slop）和低质量人工报告（human slop）激增的问题，以及这些报告对curl安全团队的负面影响。

主要内容总结：

1. AI Slop与Human Slop的激增
   作者指出，2025年curl项目收到的AI生成漏洞报告数量显著增加，约占所有提交的20%。同时，低质量的人工报告也在增多。这些报告的共同特点是质量低下，增加了安全团队的工作负担。2025年7月初，仅有5%的提交被确认为真实漏洞，远低于往年。

2. curl Bug Bounty项目的现状
   curl自2019年推出Bug Bounty项目，截至2025年已支付超过90,000美元的奖金，修复了81个真实漏洞。然而，随着低质量报告的激增，作者开始考虑是否需要调整项目设置，例如取消奖金机制。

3. 安全团队的压力
   curl安全团队由7名成员组成，每份报告需要3-4名成员花费30分钟到3小时的时间进行审查。对于非全职成员来说，处理这些低质量报告不仅耗费时间，还带来了情感上的负担。

4. HackerOne平台的局限性
   在HackerOne平台上，关闭不适用报告会降低用户的声誉，但对新用户来说，这种机制几乎无效，因为他们可以轻松创建新账户。作者认为HackerOne需要提供更多工具来帮助项目方应对这一问题。

5. 可能的解决方案

   • 收取提交费用：虽然可能有效，但这对开源项目来说显得不友好，且缺乏基础设施支持。
   • 取消奖金机制：这可能会减少低质量报告的提交，但也可能影响专业安全研究人员的积极性。
   • 其他措施：作者计划在2025年剩余时间内评估和思考如何改进项目设置。

6. AI Slop示例列表
   作者整理了一份AI生成漏洞报告的示例列表，展示了这些报告的典型特征，例如重复的缓冲区溢出、内存泄漏等问题。

结论：

文章强调了低质量漏洞报告对curl安全团队的巨大压力，并呼吁采取有效措施来减少这些报告的提交。作者计划在2025年进一步评估和调整Bug Bounty项目，以保护团队的工作效率和心理健康。

主要观点总结：

1. 开源项目维护者的负担

   • 评论者普遍认为，AI生成的报告增加了开源项目维护者的心理负担，尤其是那些看似正确但毫无价值的报告。
   • 关键引用：
     • "It's one thing to get flooded with bad reports; it's another to have to mentally filter AI-generated submissions designed to 'sound correct' but offer no real value."（raywatcher）
     • "Oh god, going through some of the reports listed on the bottom of the page feels like a nightmare. I cannot imagine how it is for the actual maintainers."（4gotunameagain）

2. 解决方案的探讨

   • 一些评论者建议通过收费、声誉系统或AI初步筛选来减少低质量报告。
   • 关键引用：
     • "Make it cost money to submit."（yayitswei）
     • "The obvious way forward is to have AI do an initial vet, and ideally create an exploit before a human reviews."（ants_everywhere）

3. 安全行业的现状与问题

   • 评论者指出，安全行业存在“喷撒式报告”问题，许多安全研究人员只关注发现漏洞，而不关心其实际价值或修复。
   • 关键引用：
     • "There’s no incentive for security people to not just 'spray and pray' security issues at you."（placardloop）
     • "I think reading scope/rewards takes too much time per company for these low value reports."（anthonyryan1）

4. AI对互联网内容的影响

   • 评论者认为，AI生成的低质量内容正在破坏互联网，并可能导致更多内容被付费墙保护。
   • 关键引用：
     • "AI slop is rapidly destroying the WWW, most of the content is becoming more and more low-quality and difficult to tell if its true or hallucinated."（bit1993）
     • "This will only cause content to go behind pay-walls, allot of open-source projects will be closed source."（bit1993）

5. 其他观点

   • 一些评论者提到，AI生成的报告不仅影响漏洞报告，还波及社交媒体和艺术领域。
   • 关键引用：
     • "The amount of art posts that I have shared with others has decreased significantly, to the point where I am almost certain some artists who have created genuine works simply get filtered out."（leovingi）
     • "It's getting to the point where if I see anything that is AI it's an instant mute or block, because there is nothing of value there - it's just noise clogging up my feed."（leovingi）

总结：

评论者普遍对AI生成的低质量报告表示担忧，认为这增加了开源项目维护者的负担，并可能破坏互联网内容的整体质量。尽管提出了收费、AI筛选等解决方案，但如何有效减少低质量报告仍是一个挑战。此外，安全行业的现状也被批评为缺乏对实际修复的激励。