Hacker News 中文摘要

RSS订阅

AI的奇迹:我们将终止漏洞赏金计划 -- The Wonders of AI: We Are Retiring Our Bug Bounty Program

原文链接 | HN讨论 | 2026-05-15 23:19:15

文章摘要

Turso宣布终止其漏洞悬赏计划,原因是AI生成的垃圾提交泛滥,导致维护团队不堪重负。尽管该计划是Turso开放贡献文化的重要部分,但经济奖励机制吸引了大量无效提交,迫使公司不得不终止该计划。Turso希望通过公开分享这一决定,为开源社区在新时期建立良好治理机制提供借鉴。

文章总结

标题:AI时代的困扰:我们决定终止漏洞悬赏计划

来源:Turso科技博客(2026年5月12日)

核心内容:

  1. 计划终止声明 Turso宣布终止运行近一年的漏洞悬赏计划,该计划原本为能证明导致数据损坏的漏洞提供1000美元奖励。终止主因是AI生成内容泛滥,维护团队不堪重负。

  2. 计划初衷

  • 项目背景:Turso正在重写以可靠性著称的SQLite数据库
  • 质量保障:已配备确定性模拟器、模糊测试工具、SQLite差分测试引擎等
  • 设立目的:既展示项目信心,又弥补自动化测试的盲区(如仅1GB以上数据库才会出现的漏洞)
  1. 早期成效 计划曾成功奖励5位杰出贡献者,包括:
  • 模拟器核心开发者Alperen
  • 创新运用LLM的Mikael(后被聘用)
  • 通过形式化方法发现SQLite十余个漏洞的Pavan Nambi
  1. AI冲击 "技术奇点"后出现的问题:
  • 海量低质提交:用户直接修改数据库头文件/源代码制造"漏洞"
  • 荒诞案例:有提交将支持SQL语句视为漏洞,或故意禁用Turso的并发写入特性
  • 对抗升级:AI会反复重开被关闭的工单,甚至换账号重复提交
  1. 应对措施
  • 建立担保人制度(收效有限)
  • 尝试自动过滤机制(被AI绕过)
  1. 最终决定 由于:
  • 处理AI生成内容消耗大量人力
  • 经济激励与开放系统存在根本冲突 Turso选择保留开源社区,取消经济激励,以维持项目可持续发展。

(注:文中涉及的图片描述和部分调侃性案例已精简,保留了最具代表性的信息)

评论总结

以下是评论内容的总结,按观点分类呈现:

  1. AI生成低质量内容的泛滥问题

    • 认为AI生成的低质量内容("AI slop")正在大规模制造,给真正创造者带来困扰 "low effort bullshit generated at scale making life hell for people actually trying to make things"(评论2) "We sorely need a way to reliably detect AI slop"(评论11)

  2. 解决方案建议

    • 建立惩罚机制(如三振出局制): "when someone submit ai slop they get a strike. Three strikes and you are suspended"(评论1)
    • 收取押金制度: "Make submitters pay a nominal fee that is returned in the case that a real bug is found"(评论6)
    • 平台责任论: "its on Github (and Gitlab) to stop these sort of accounts"(评论5)

  3. 代码审查的核心问题

    • 指出真正的瓶颈在于代码理解而非编写: "bottleneck isn't in writing the code. It is in reading and understanding the code"(评论3)
    • 类比"高产"工程师带来的问题: "team would come to a crawling pace because either his PR had to be reviewed in detail"(评论3)

  4. 技术对抗方案

    • 以AI对抗AI: "deploy their own AI bots to pre-screen the PRs"(评论7)
    • 蜜罐策略: "post heavily commented skeleton code...See the bots swarm"(评论12)
    • 推荐现有蜜罐项目: "this fantastic repo acting as a bot honeypot"(评论9)

  5. 身份验证与声誉系统

    • 建议建立可验证的人类身份系统: "Being a verifiable human identity...having a known, public, reputation"(评论15)
    • 提出"人类注意力证明"概念: "proof of human attention for digital artifacts"(评论11)

  6. 经济可行性质疑

    • 质疑AI提交的经济合理性: "can't be that economically feasible to burn a ton of tokens"(评论14)
    • 反向利用经济模型: "bots are using real tokens...burn their tokens to write code for you"(评论12)

  7. 相关技术讨论

    • 关于Turso数据库的实用性讨论: "Has anyone used Turso in production?"(评论8)
    • 关于测试用例作为工作量证明: "could act as a proof-of-work"(评论16)

  8. 宏观影响观察

    • 认为已进入"永恒九月"状态: "Definitely feels like we're heading towards an eternal september"(评论10)
    • 指出时间点的特殊性: "odd that this comes today after so many other projects"(评论13)