cURL 是一款被广泛使用的开源网络工具，其开发者于周四停止了漏洞奖励计划，原因是提交的低质量报告激增，其中许多报告被怀疑是由人工智能生成的。cURL 的创始人兼首席开发者 Daniel Stenberg 表示，做出这一决定的主要原因是需要保护其小型维护团队的心理健康。

Stenberg 解释说，这些“垃圾”报告的涌入，使团队无法正确评估和回应合法的安全问题。“我们只是一个小型开源项目，只有少数活跃的维护人员，”Stenberg 说。“我们无力改变所有这些人及其垃圾机器的工作方式。我们需要采取行动，以确保我们的生存和完整的心理健康。”

取消漏洞奖励计划的决定在 cURL 用户社区中引发了争论。一些用户表示担心，虽然可以理解，但此举可能会消除外部研究人员识别和报告漏洞的关键动力，从而对该工具的整体安全性产生负面影响。这种担忧源于漏洞奖励计划通常被视为一种经济高效的方式，可以补充内部安全审计，从而提供更广泛的网络来捕获潜在的缺陷。

安全专家指出，人工智能生成的报告的兴起，虽然可能存在问题，但也突显了开源项目面临的更广泛的挑战：需要有效地管理和验证漏洞报告。SANS 研究所的网络安全研究员 Alissa Johnson 博士评论说：“虽然人工智能可以成为识别潜在漏洞的有用工具，但至关重要的是要有人工监督来过滤掉误报，并确保报告的问题实际上是可以利用的。” 大量人工智能生成的报告可能会导致警报疲劳，这是一种在医学领域有充分记录的现象，过多的警报会使人们对真正的紧急情况麻木不仁，从而可能延误关键的响应。

Stenberg 承认了对安全性的担忧是合理的，但强调了团队的资源有限。他还表示，团队将积极禁止并公开嘲笑那些提交无聊或明显存在缺陷的报告的个人，这表明对浪费时间的提交采取零容忍政策。“如果你用垃圾报告浪费我们的时间，我们会禁止你并在公开场合嘲笑你，”Stenberg 在另一篇文章中写道。

cURL 项目现在正在探索维护安全性的替代方法，包括加强内部代码审查以及与值得信赖的安全研究人员合作。漏洞奖励计划的终止对 cURL 安全态势的长期影响还有待观察，但该事件突显了开源项目越来越需要适应人工智能带来的挑战和机遇。