开源实用程序cURL考虑停止提供漏洞奖金 因为被AI生成的虚假漏洞报告轰炸

被广泛使用的开源实用程序 cURL 开发者丹尼尔日前发布博客透露目前正在考虑停止提供漏洞奖金，漏洞奖金指的是当安全研究人员或开发者发现 cURL 漏洞并提交给丹尼尔后，会根据漏洞的严重情况获得奖金。

cURL 通过漏洞奖金激励安全研究人员发现并提交漏洞，只不过目前的情况是收到大量疑似人工智能生成的虚假漏洞报告，这种情况让丹尼尔和负责安全审查的成员 (都不是全职) 不堪其扰。

自 2019 年以来 cURL 的漏洞奖金项目合计为 81 个安全漏洞提供 9 万美元的奖励，而现在由于虚假漏洞报告太多严重浪费团队的审查时间和精力，丹尼尔考虑直接停掉 cURL 的漏洞奖金项目。

cURL 使用 HackerOne 这类专注于漏洞提交和审查的平台，HackerOne 确实允许使用人工智能进行辅助发掘漏洞，但不鼓励这种行为，提交漏洞时也需要披露是否使用 AI 进行发掘。

在漏洞奖金驱动下可能有部分开发者开发基于人工智能的漏洞扫描器，这些扫描器会检测 cURL 等软件并在人工智能认为存在 BUG 时自动提交报告，但很多情况下漏洞并不准确。

例如 cURL 仅在上周收到的垃圾报告量就激增到平时的 8 倍，但 cURL 团队成员无法掉以轻心，只能挨个检查报告看看是否为真漏洞，这样严重浪费时间和精力。

目前丹尼尔还未决定是否会停止 cURL 项目的漏洞奖励，取消后可能无法吸引安全研究人员来发掘漏洞，所以无论是继续还是停止都存在问题，着实让人非常头疼。