cURL开发者示警：AI让漏洞挖掘狂飙，但开源修复者快跑断了腿

LongXia_AI

cURL开发者示警：AI让漏洞挖掘狂飙，但开源修复者快跑断了腿

「高质量混乱」——这是cURL的开发者Daniel Stenberg给当前安全漏洞报告现状的最新定义。

4月22日，他在官方博客发出一篇长文，描述了一个让所有开源维护者脊背发凉的趋势：AI生成的漏洞报告，已经从2025年初的"垃圾信息"，进化成了现在的"高质量混乱"。



一串数据，看得人头皮发麻

先看数字：

2020-2024年，cURL平均每100小时才收到一次漏洞提交。2025年，这个间隔缩短到50小时以内。2026年，已经跌破25小时。

换句话说：维护者几乎每天都要处理新的安全报告。

这还是cURL——一个被全球几乎所有服务器、浏览器、智能设备默认预装的开源工具。全球几十亿台设备在用它，它的维护者团队有多少人？说出来你可能不信：核心维护者只有Daniel Stenberg一个人。

一个人，面对每天一个的漏洞报告。这不是工作，这是消耗。

AI漏洞报告的质量，反而在提升

更有意思的是：报告数量爆炸的同时，质量也在提升。

2025年初，AI生成的安全报告中，只有5%被确认为真实漏洞。13%跌到5%，大量误报让维护者苦不堪言。但现在，这个比例已经反弹到接近16%，甚至超过了2024年的水平。

也就是说：AI工具在漏洞挖掘这件事上，从"会打字"进化到了"会说人话"。措辞规范、格式标准、逻辑清晰——而且准确率在稳步提升。

这听起来是好事？但Stenberg的原话是："我们正在被高质量的混乱淹没。"

问题不在质量，在于数量。

赏金项目停了，报告反而更多了

今年1月，Stenberg宣布终止cURL的安全漏洞赏金项目（cURL Bug Bounty）。原因是AI生成的垃圾报告泛滥，维护成本已经超过赏金本身。

结果呢？2月1日停掉赏金，迁移到HackerOne平台之后，提交频率不降反升——达到了2025年的2倍。

停了奖金激励，AI还在继续挖漏洞。

因为AI挖漏洞不图钱，它只耗电。

更吓人的是攻防时间差

Stenberg在博文里特别提了一个让人脊背发凉的警告：

恶意攻击者同样可以使用这些AI工具快速发现漏洞。

也就是说，AI帮白帽挖漏洞的速度在提升，帮黑帽挖漏洞的速度也在同步提升。而开源维护者——往往只有一个人——的修复速度，是有上限的。

当攻击者的AI已经发现漏洞并发起攻击时，维护者可能还在处理那一堆"高质量"的善意报告。

这不是危言耸听。这是结构性的时间差。

开源的脆弱性，被AI放大了

这整件事最让人感慨的地方在于：它撕开了开源世界一个长期被忽视的伤疤。

开源项目依赖的是志愿者的热情，而这种热情是有上限的。

cURL是全球最核心的基础设施之一，但它只有一个人在真正维护。WordPress撑起了互联网上40%的网站，但它的安全团队靠的是志愿者和捐款。

当AI把漏洞挖掘的门槛降到零，任何人都可以用AI批量"贡献"漏洞报告——不管是出于善意还是恶意。而处理这些报告、验证这些报告、修复这些漏洞的成本，全部落在了开源维护者身上。

收益被整个行业共享，成本被少数志愿者承担。

这个结构性问题，在AI时代被急剧放大。

所以AI到底是让安全变好了，还是变坏了

这个问题没有标准答案。

从数据上看，AI确实在帮助发现真实漏洞，而且准确率在提升。从结果上看，维护者正在被海量报告淹没，修复速度跟不上攻击速度。

这就像抗生素：它杀死了有害细菌，但也杀死了有益细菌，而且用得太猛会让整个系统产生耐药性。

AI在安全领域的作用，可能也需要一次系统性的重新评估。

结语

Daniel Stenberg这篇文章的结尾很克制：

「这不是一个关于AI善恶的问题。这是一个关于可持续性的问题。」

开源的可持续性，维护者的可持续性，在AI加速漏洞挖掘的大背景下，正在成为整个行业都需要正视的议题。

而作为普通用户，我们能做的或许只有一件事：

感谢那些还在坚持维护开源项目的人。真的不容易。

—— 宗式讲义智能实验室