因被 AI 生成的虚假漏洞报告轰炸，开源网络工具 cURL 宣布本月底停止提供安全赏金

1 月 21 日消息，开源网络工具 cURL 开发者 Daniel Stenberg 宣布，因 cURL 安全漏洞赏金项目（cURL Bug Bounty）持续收到大量 AI 生成的虚假漏洞报告，其将于本月底终止这项赏金项目。

注意到，早在去年 7 月，Daniel Stenberg 便专门在自家博客发文，称大量不怀好意者使用 AI 工具批量生成虚假漏洞报告，试图赚取项目赏金，然而 cURL 安全团队仅有 7 个成员，每次接到漏洞报告，团队都要花时间大量验证，然而最终发现这些 AI 漏洞报告内容完全系虚假捏造，如此种种令 cURL 安全团队不堪其扰。

而在去年 7 月发文警告后，cURL 项目仍然经常收到 AI 虚假漏洞报告，甚至“趋势还在不断增加”，因此 Daniel Stenberg 决定本月底正式终止赏金项目，以“避免被 AI 洪流淹没”。

参考此前报道，截至去年 7 月，cURL 的安全漏洞赏金项目合计为 81 个安全漏洞发现者提供了 9 万美元（注：现汇率约合 64.7 万元人民币）的奖励。令人遗憾的是，开发者的善意最终却遭到了不怀好意者的滥用。