#行业资讯 开源实用程序 cURL 考虑停止漏洞奖金计划，因为被 AI 生成的虚假漏洞报告轰炸严重浪费审查时间和精力。在奖金吸引下 cURL 项目吸引诸多 AI 漏洞扫描器开发者，但这些 AI 生成的报告大多数都是虚假的，而 cURL 成员应对报告又必须仔细审查防止漏洞重要信息。查看全文：https://ourl.co/109792

被广泛使用的开源实用程序 cURL 开发者丹尼尔日前发布博客透露目前正在考虑停止提供漏洞奖金，漏洞奖金指的是当安全研究人员或开发者发现 cURL 漏洞并提交给丹尼尔后，会根据漏洞的严重情况获得奖金。

cURL 通过漏洞奖金激励安全研究人员发现并提交漏洞，只不过目前的情况是收到大量疑似人工智能生成的虚假漏洞报告，这种情况让丹尼尔和负责安全审查的成员 (都不是全职) 不堪其扰。

自 2019 年以来 cURL 的漏洞奖金项目合计为 81 个安全漏洞提供 9 万美元的奖励，而现在由于虚假漏洞报告太多严重浪费团队的审查时间和精力，丹尼尔考虑直接停掉 cURL 的漏洞奖金项目。

cURL 使用 HackerOne 这类专注于漏洞提交和审查的平台，HackerOne 确实允许使用人工智能进行辅助发掘漏洞，但不鼓励这种行为，提交漏洞时也需要披露是否使用 AI 进行发掘。

在漏洞奖金驱动下可能有部分开发者开发基于人工智能的漏洞扫描器，这些扫描器会检测 cURL 等软件并在人工智能认为存在 BUG 时自动提交报告，但很多情况下漏洞并不准确。

例如 cURL 仅在上周收到的垃圾报告量就激增到平时的 8 倍，但 cURL 团队成员无法掉以轻心，只能挨个检查报告看看是否为真漏洞，这样严重浪费时间和精力。

目前丹尼尔还未决定是否会停止 cURL 项目的漏洞奖励，取消后可能无法吸引安全研究人员来发掘漏洞，所以无论是继续还是停止都存在问题，着实让人非常头疼。