近日,知名开源网络工具 cURL 的开发者 Daniel Stenberg 在博客中透露,该项目的安全漏洞赏金计划正遭遇严重滥用。大量别有用心的人利用 AI 工具批量生成虚假漏洞报告,试图骗取奖金,这种行为已经给安全团队带来极大困扰,甚至促使团队考虑是否要终止赏金项目。
Daniel Stenberg 表示,自 2019 年起,cURL 的漏洞赏金计划已累计为 81 个真实漏洞的发现者发放了总计 9 万美元的奖励。这一机制本意是鼓励安全研究人员积极上报问题,但如今却被一些人当作牟利工具。他们借助 AI 自动生成大量毫无价值的漏洞报告,其中大部分内容完全不属实。
据他介绍,就在最近一周,这类垃圾报告的数量猛增至平时的 8 倍,严重干扰了团队的正常工作。目前 cURL 安全团队仅有 7 名成员,面对激增的虚假报告,他们仍需逐一检查,每份报告的验证时间从半小时到三小时不等,工作压力陡增。
Daniel Stenberg 在文章中坦言,如果情况继续恶化,团队将不得不考虑彻底取消这一赏金计划。他同时呼吁真正有能力的安全研究人员,以负责任的方式提交有效漏洞信息,而非参与这种低质量的“漏洞刷单”行为。
本文属于原创文章,如若转载,请注明来源:cURL漏洞赏金计划遭AI滥用https://ai.zol.com.cn/1016/10163610.html