开源网络工具cURL因AI虚假漏洞报告月底将终止赏金项目

对cURL开发者而言的一个带着善意的决定，最终却是被借助AI生成的数量庞大到海量程度的垃圾信息给击垮了。

开源项目维护者的困境

一个被广泛运用的网络数据传输工具是cURL，其安全有着至关重要的意义，所以项目方设定了奖金计划，以此鼓励外界去报告漏洞从而加固软件，这种机制在过去的几年当中起到了积极的作用，切实提升了软件的安全性 。

仅有的七名维护团队成员，要处理源自全球的复杂技术报告，每份报告都得大量投入时间去做技术验证，从环境搭建开始到漏洞复现，流程严谨然而耗时又费力，团队成员精力本该集中于代码开发上。

AI虚假报告的泛滥

自去年起始，情形出现了剧烈的变化，众多借助人工智能工具自动生成的漏洞报告，开始源源不断地涌入提交系统，这些报告表面看起来十分专业，其中涵盖了代码片段以及原理描述，然而，在经过验证之后却发觉全然是编造出来的。

那些虚假报告，目的清晰得很，是借助自动化工具去做批量生产，妄图凭借碰运气的方式通过审核进而骗取奖金。这般行为可不是单个的例子，而是已然形成了一种带有组织性质的、运用技术来施加欺诈的趋向，给审核团队带去了前所未有的压力。

安全团队的不堪重负

不得不将大量工作时间投入到鉴别这些AI生成的垃圾信息上的有限团队成员，要像侦探一样审查报告里的每个技术细节，寻找逻辑矛盾或者无法复现的迹象，句号。

团队付出了数十乃至数百小时去工作，最终结果呢，常常是徒劳无功的，换来的竟然是零真实漏洞被发现，这般高投入却零产出的工作模式，严重地消耗了开发者的热情以及项目的宝贵资源，使得维护工作开展起来变得举步非常艰难且极为不易，困难重重，举步维艰，寸步难行，难上加难，难以为继，艰难困苦，艰难至极，举步维艰，难如登天，难以为继啊。

警告后的持续恶化

去年七月的时候，项目创始人就竟然是丹尼尔·斯坦伯恩，其曾经在博客之上公开地谴责这般行为，想着指望能够起到警示的作用。然而呢，事与愿违是这情况，公开的警告最终并没能遏制滥用的浪潮。

虚假报告的数量不但没减少，反倒呈现出持续增长的态势。这说明滥用者没把警告当回事，要不然就是有更多新参与者加入到利用AI实施欺诈的队伍里了。善意提醒得到的是冷漠回应。

终止赏金计划的无奈抉择

面对那无法予以控制的“AI 洪流”，项目方最终作出了终止整个赏金计划的艰难抉择，这一决定意味着，往后将不会再为外部所报告的漏洞给予现金奖励，这是一项出于保护项目核心开发活动而施行的防御性举措。

这一决定毫无疑问是让人觉得遗憾的，截止到去年，这个项目已经针对81个实实在在存在的漏洞支付了将近9万美元的奖金，这充分表明该计划原本是有着显著成效的。将它终止，就等同于由于少数人的滥用行为而剥夺了多数诚实做出贡献者获取奖励的机会 。

对开源生态的深远影响

cURL的案例可不是单独的例子，它显现出AI技术被不当利用给开源社区造成的新的威胁，开源项目依靠有限的志愿者以及捐赠来运转，它对抗被滥用的能力极其薄弱，要是其他项目也经历类似的冲击，或许会引发连锁反应。

当今，AI工具不断普及，这引出了一个严峻问题，即我们该如何去设计新的协作以及激励机制，此机制既要能够鼓励实质性的贡献，又要可以有效抵御自动化被滥用的情况，这需要开发者社区、安全研究者以及平台方一同思考解决办法。

你可不可以这么想，当不能够有效地去鉴别AI所生成的内容的情形下，开源项目把类似的众包奖金计划给关闭掉是不是唯一的那一种选择呢？又或者是不是应该存在更好的技术或者管理方面的手段去应对这一项挑战呢？欢迎把你的看法给分享出来。