cURL项目决定取消漏洞赏金计划。这一变化于2026年1月21日公布，意味着未来发现并报告cURL漏洞的安全研究人员将不再获得经济奖励。

cURL取消漏洞赏金计划

开源代码库cURL宣布将终止漏洞赏金计划，自2026年1月底起不再为漏洞报告提供金钱奖励。该项目维护者Daniel Stenberg表示，这一决定是为了应对近期激增的AI生成的低质量漏洞报告，这些报告给维护团队带来了巨大的额外工作量。

背景与现状

• AI报告泛滥：cURL项目近年来收到大量AI生成的无效漏洞报告，其中绝大多数是"纯无稽之谈"。Stenberg在2025年发表的《死于千份垃圾报告》一文中详细描述了这一现象。
• 处理成本高昂：辨别这些无效报告需要耗费大量时间，严重影响了项目维护效率。
• 历史数据：过去cURL共为87个有效漏洞支付了101,020美元赏金，其中包含100多份AI辅助生成的有价值报告。

行业观点

知名漏洞猎人Joshua Rogers（以使用AI工具进行高效代码审查著称）支持这一决定，认为： 1. 金钱激励并非核心动力：发现cURL漏洞的真正价值在于行业声誉，而非最高1万美元的赏金。 2. 经济不对称问题：赏金对发达国家研究者可能只是"午餐费用"，但对低收入国家研究者却意义重大，这种不平衡加剧了低质量报告的泛滥。 3. 主动审查仍将持续：专业研究者不会因赏金取消而停止寻找关键漏洞。

后续影响

其他开源项目也面临类似困境，cURL的举措可能为行业提供参考。Stenberg强调，取消赏金旨在"减少人们提交垃圾报告的动机"，同时项目仍欢迎通过传统方式提交的质量报告。

（注：原文中的广告、导航栏、无关图片及次要新闻链接等内容已按编辑要求删除，核心信息完整保留）

评论总结：

1. 低质量报告泛滥问题

   • 多位用户指出AI生成的低质量漏洞报告（slop reports）正在淹没漏洞赏金项目
   • 关键引用：
     • "cURL stopped HackerOne bug bounty program due to excessive slop reports" (plastic041)
     • "We get around 100 or more emails a day now...filled with false positives" (Snakes3727)

2. 解决方案建议

   • 建议收取可退还的提交费来过滤低质量报告
   • 关键引用：
     • "An entry fee that is reimbursed would stop this" (dlcarrier)
     • "adding some kind of barrier to entry will weed out submitters" (dlcarrier)

3. AI的双刃剑效应

   • 有评论认为AI既制造问题也可能解决问题
   • 关键引用：
     • "Just use an LLM to weed them out" (novalis78)
     • "AI discovering so many exploits that cybersecurity can't keep up" (ares623)

4. 对开源生态的影响

   • 担忧AI可能最终取代大部分开源代码
   • 关键引用：
     • "open source loses the most from AI" (jameslk)
     • "AI simply replaces most open source code" (jameslk)

5. 报告质量示例

   • 举例说明荒谬的漏洞报告内容
   • 关键引用：
     • "critical IIS bug for Windows server (doesn't exist)" (Snakes3727)
     • "complaining...that the linux did not use systemd" (nottorp)

6. 动机分析

   • 指出提交低质量报告可能出于营销目的
   • 关键引用：
     • "there's also promotional purposes" (nottorp)
     • "you're suddenly a security expert" (nottorp)