开源网络工具cURL的开发者Daniel Stenberg近期在其博客上发文，对cURL安全漏洞赏金项目被滥用表示担忧。他指出，许多不怀好意者利用AI工具批量生成虚假漏洞报告，试图骗取项目赏金，这给cURL的安全团队带来了巨大的工作负担。据统计，cURL的安全团队仅有7名成员，但平均每个虚假漏洞报告的核实时间需要30分钟至3小时，导致团队大量时间被浪费。Stenberg表示，如果情况无法改善，cURL可能会被迫取消其安全漏洞赏金项目，此举将影响到真正发现漏洞的安全研究人员。cURL自2019年以来已为81位漏洞发现者提供了9万美元的奖励。

🚨 AI生成虚假报告泛滥，cURL漏洞赏金项目面临压力。cURL开发者Daniel Stenberg在其博客中透露，利用AI工具批量生成虚假漏洞报告的现象日益严重，这使得cURL的安全团队不堪重负，正在考虑是否继续提供漏洞赏金。

💰 漏洞赏金项目被滥用，耗费团队大量时间和精力。cURL的安全团队仅有7名成员，而处理每份由AI生成的虚假漏洞报告，可能需要花费30分钟至3小时进行核实，这极大地消耗了团队的宝贵时间和精力，影响了正常工作效率。

⚖️ 真实漏洞发现者权益受损，项目存续面临挑战。cURL自2019年以来已为81个安全漏洞的发现者提供了9万美元的奖励，但AI滥用行为不仅浪费了项目资源，也可能稀释对真正贡献者的认可。若滥用情况得不到有效控制，项目可能被迫取消，影响到整个安全生态。

🚀 cURL团队的艰难抉择：平衡安全与资源。面对AI技术带来的挑战，cURL团队在继续提供漏洞赏金以鼓励安全研究和维护自身安全之间面临艰难抉择。一旦取消赏金项目，可能会失去一部分安全漏洞的早期发现渠道，但也可能因此将资源集中用于更有效的安全加固。

IT之家 7 月 19 日消息，开源网络工具 cURL 开发者 Daniel Stenberg 在博客发文，抱怨 cURL 的安全漏洞赏金项目（cURL Bug Bounty）被滥用，许多不怀好意者使用 AI 工具批量生成虚假漏洞报告，试图赚取项目赏金，这令 cURL 安全团队不堪其扰，考虑后续停止提供漏洞赏金。

Daniel Stenberg 表示，自 2019 年以来，cURL 的安全漏洞赏金项目合计为 81 个安全漏洞发现者提供了 9 万美元（IT之家注：现汇率约合 64.7 万元人民币）的奖励，而不怀好意者正是看到了相应赏金项目有利可图，因此利用 AI 工具生成大量“垃圾漏洞报告”，例如 cURL 仅在上周收到的垃圾报告量就激增到平时的 8 倍，而这些漏洞报告大部分都不实。

作为比较，cURL 安全团队目前仅有 7 个成员，即使是被大量 AI 漏洞报告轰炸，相应团队也无法掉以轻心，只能挨个花费 30 分钟至 3 小时确认相应漏洞是否属实，因此严重浪费时间及精力。就此，Daniel Stenberg 声称“如果到了迫不得已的时候，他们将会取消安全漏洞赏金项目”。