AI生成的漏洞报告激增，开源维护者快招架不住了

2026年4月22日，cURL的开发者Daniel Stenberg发出了警告，AI生成的漏洞报告进入了“高质量混乱”的新阶段，数量急剧增加，达到了每天都需要处理的程度，开源维护者正被推向超负荷的极限。

每天一个漏洞报告 维护者正在崩溃

2020年至2024年期间，cURL项目平均每100小时才收取一回漏洞报告，到2025年，间隔缩短至50小时以内，进入2026年后，间隔直接跌破25小时，这意味着那些维护者几乎每天都得处理新报告。

在4月22日的博文中公布这个数据的是Daniel Stenberg ，作为一个全球开发者都在使用的开源网络工具 ，cURL的月活用户超过10亿 ，而这种数量级的增长使得维护团队的工作量呈现指数级飙升。

AI 工具普及了，工作量因此暴增。维护者不只是修复代码了，他们得花大量时间明辨，啥是真正的漏洞，啥是 AI 生成的假报告。这种辨别过程特别耗精力呐。

质量大幅提升 真假更难分辨

2025年年初的时候，cURL所收到的漏洞报告之中，仅仅只有5%是被确认为真实问题的。然而到了2026年4月，这样的比例却是强劲反弹到了16%，甚至还超过了2024年的水平。这也就意味着AI工具的准确度正在快速进行优化。

Daniel Stenberg 用以形容这个新阶段的表述是“高质量混乱”。当前的 AI 报告，已不再属于那种一眼便能识别出的垃圾信息范畴，在表达措辞方面，它们呈现出严谨的特性，在逻辑构建上，清晰有序，于格式规范层面，有着明确的标准，整体展现出来甚为专业。

然而，这些具备高质量性质的报告，依旧存在着AI所留下的痕迹，像是有着相似特征的句式结构，以及出现重复情况的表达方式。对于维护者而言，需要做到仔细认真地去阅读每一份报告，进而才能够判断这份报告是不是真实有效的。而这样的一种辨别工作，相较于单纯地去修复漏洞而是更让人觉得累人。

赏金项目被迫终止 反而收到更多报告

2月1日这一天 ，cURL团队 ，无奈之下 ，终止了安全漏洞赏金项目。这是因为 ，由AI生成的虚假报告 ，数量多得惊人 ，团队完全没办法处理 ，而且 ，也根本没有办法 ，支付那些根本不存在的漏洞奖金。

可奇怪的事儿出现了，在终止赏金项目之后，转而回到传统的Hackerone平台，安全报告的提交频率不但没有下降，反倒双倍增长，朝着高一倍的方向涨了起来。在2026年的前四个月里，提交量已然是2025年一整年的两倍了。

这说明了，存在着一种情况，即AI运作生成报告的这种行为，已然和金钱所给予的奖励之间，不存在直接的关联关系了。众多的人，其心态大多是这样的，仅仅是将提交漏洞报告，当成是运用AI工具来进行练习的一种途径方式，又或者，只是单纯地想要通过此来测试自身所设置应用的AI提示词所产生的效果罢了。

攻击者也在用AI 时间差成为致命风险

Daniel Stenberg提出了更为要紧的一个问题，即攻防时间差，恶意攻击者能够借助AI工具迅速挖掘出漏洞，并且其速度兴许比维护者还要快。

当AI工具针对同一个漏洞，同时向攻击者以及维护者进行报告的时候，攻击者能够立马借助这个漏洞展开攻击，而维护者则需要花费时间去验证，花费时间去修复，花费时间发布更新，这样的时间差完全足够造成严重破坏。

这表明AI不但加大了维护者所承担的工作量，并且还对所有运用这些开源软件的用户造成了直接威胁。若是一家中型企业使用了cURL，那么在遭受攻击的时候很可能依旧浑然不知。

没人标注AI痕迹 透明度几乎为零

Daniel Stenberg于博文之中提及，尽管当下报告质量甚高，然提交者几乎从不提及自身使用了AI工具，维护者仅能依据措辞以及重复度去猜测哪些报告系AI生成的。

这般情形使得问题愈发复杂，倘若提交者能够主动标明”这是经由AI辅助产生的报告”之举，那么维护者便能够更具针对性地展开审核，然而在实际状况里鲜少有人会采取如此行动，缘由在于他们忧心自己所提交的报告会未被予以重视。

其结果是缺乏透明度，使得维护者在面对所有报告时须一视同仁，要耗费同样的时间以及精力去审核每一个，这进而加剧了工作负荷，最终形成恶性循环。

开源生态面临考验 行业需要新规则

cURL所经历的状况并非是单独的事例，越来越多从事开源项目维护工作的人员于社交媒体上对相似的问题发出怨言，Linux内核、OpenSSL等属于关键基础设施范畴的项目同样经受着AI报告所带来的冲击。

用于全球数字基础设施维护的开源维护者，大多属于志愿者，他们利用自身业余时间来做此事，然而当下他们正被由AI生成的诸多报告所淹没，以致越来越多的人选取退出或者放弃对项目的维护。

行业迫切需要去制定全新的规则，比如说，要规定漏洞报告必须标明是不是使用了AI，要构建起AI报告的标准的格式以及审核的通道，又或者是去开发出能够自动辨别AI报告的工具，不然的话，开源生态有可能会面临垮塌的风险。

当下呈现出这样一种局面，即：AI工具致使报告质量得以提升，然而，数量猛增这一问题反倒变得更为严重了。你是否遭遇过由AI生成的技术文档或者问题报告呢？你认为开源项目应当怎样去应对这种“高质量混乱”状况呢？欢迎于评论区分享你的观点看法，点个赞以便让更多开发者察觉到这个危机。