AI生成漏洞通報氾濫 Curl維護者終止抓蟲獎勵方案

由於接到太多外界以AI生成的低品質漏洞報告，Curl專案維護者本周宣布終止抓漏獎勵方案。

Curl是廣受歡迎的開源、跨平臺的命令列網路資料傳輸專案，它支援HTTP/HTTPS、FTP/FTPS、SCP/SFTP、SMTP/IMAP/POP3、DAP、SMB、MQTT等協定可用於呼叫REST API、下載/上傳檔案、測試Web服務，或進行資安研究和除錯。

Curl創辦人暨維護者Daniel Stenberg本周宣布Curl漏洞通報獎勵方案將在2026年1月底結束。Curl專案不再針對外界通報的臭蟲或漏洞提供任何獎勵。他們也不再援助經由其他來源解決Curl問題的研究人員。Stenberg解釋，抓漏獎勵讓一些人惡意尋找並杜撰漏洞，造成專案的不必要負擔和濫用。

Curl專案從2019年起透過主要平臺如HackerOne及Internet Bug Bounty等實施漏洞通報獎勵方案，以回饋通報curl及libcurl漏洞的研究人員。

但Stenberg上周說明，近日在16小時內收到7則漏洞通報，經過相當長時間的檢視，發現沒有一則是真正的漏洞。從2026年起該專案已收到20則這類通報。

例如他和一位「研究人員」來回爭論許久，之後他公開在社群平臺揶揄對方以AI生成品質粗糙的漏洞報告。雖然Stenberg未指明對方身份，但對方則堅持他的發言「毁了他們的專業生涯」。

Stenberg在另一篇社群貼文說明Curl專案在2025年接到的通報率超過其他開源專案，並形容其中不少是「垃圾」。

說，關閉抓漏獎勵方案主要是關閉低品質、不嚴謹通報的誘因，不論是不是AI生成的。現有低品質通報氾濫已對curl安全團隊形成重大負擔。因此這決定是為了移除這類「噪音」，讓真正有價值的報告更易於提出和處理。

這決定意謂著Curl專案將退出HackerOne。Bleeping Computer報導，Curl專案將在1月底結束任何報酬支付，現有審查中的報告仍會被處理。2月1日起，Curl專案不再經由HackerOne，而要求研究人員直接透過GitHub通報問題。Stenberg說，希望即使不再未付酬勞後，還能接到真正的漏洞通報。