被 AI 生成的多数“垃圾舛误叙述”拖垮，感慨者疲于应酬、难以评估代码质料德宏铝皮保温工程临，终不得不叫停项运行多年的舛误赏金野心——这是开源数据传输器用 curl 近期发生的真实故事，也可能是越来越多开源表情正在靠近的现实。

上周，curl 创东说念主兼斥地者 Daniel Stenberg 向 GitHub 仓库提交了条直白得简直有些“冷情”的 Commit，标题是：

「BUG-BOUNTY.md：咱们将于 2026 年 1 月底罢手舛误赏金野心」

在这条提交中，他明确暗示，将删除表情中统统与舛误赏金和 HackerOne 平台有关的内容。这意味着，自 2019 年启动、手续运行多年的 curl 舛误励野心，谨慎走向顶。

被“AI 垃圾”压垮的袖珍感慨团队

在随后公开的评释中，Daniel Stenberg 并莫得遁入这背后的真实原因。

“咱们仅仅个袖珍开源表情，活跃感慨东说念主员数目有限，”他写说念，“咱们莫得才能去改造这些东说念主过火‘垃圾生成器用’的运作式。为了表情能够链接活下去，也为了感慨者的神气健康，咱们须作念出转机。”

作为互联网上常用的集聚器用之，curl 表情连年来收到的舛误叙述质料在急剧下滑，好多东说念主为了获得赏金，而骄贵提交 AI 生成的舛误叙述，果名义看起来“有模有样”，实践上却毫价值。

如今 curl 团队作念出这决定在社区中速即激勉征询。不少用户质疑，取消舛误赏金野心像是“标不本”；也有东说念主直言，这对统统这个词舛误赏金行业来说是种羞耻。

位用户在批驳中写说念：“我为你在这个表情中遭逢的低质料体验感到缺憾，同期也对统统这个词行业的改日感到担忧——尤其是看到平台在靠近这些低质料‘猎东说念主’时，简直能为力。”

他们的担忧并非没突出念念敬爱。舛误赏金野心，历久以来被视为保险 curl 安全的紧迫渠说念之。

对此，Stenberg 基本暗示认可，但也坦言：团队仍是别聘任。

随后，curl 的 GitHub 官账号也发布新，阐述舛误赏金野心将于本月底谨慎闭幕。Stenberg 写说念：

舛误赏金野心的谨慎闭幕日历定在 1 月 31 日，但我很知晓，这类变往往需要几天时候才能的确“生”。因此提前几天并新，我以为并不会对任何东说念主酿成实践影响。

在关闭日历之前，咱们仍会正常继承舛误提交；到期后将罢手受理。淌若在截止时刻仍有正在处理中的提交，咱们会允许其链接走完经由，并按照以往的表率经由进行处理。

自 2026 年 2 月 1 日起，咱们将不再通过 HackerOne 继承新的舛误叙述，转而请大通过 GitHub 提交安全有关问题。

同期，curl 团队也在官的“Security.txt” 文献中，口吻为顽强地写说念：“淌若有东说念主用毫价值的叙述糟践咱们的时候，咱们会封禁其账号，并公开点名嘲讽。”

个“老器用”的安全逆境

curl 并不是什么新兴表情。

它早发布于 30 年前，初名为 httpget，自后更名为 urlget，终演变成今天简直处不在的 curl。论是系统措置员、研究东说念主员照旧安全工程师，都在日常责任中常常使用它：文献传输、调试集聚恳求、自动化任务……简直统统操作系统的默许装置中，都能看到 curl 的身影。

落幕当今，其 GitHub Star 数目达到了 40.5k，Fork 数有 7k，流行度由此可见斑。

正因为它被用于处理海量集聚数据交互，安全直是表情标生命线。

和许多开源花姿色，curl 团队历久依赖外部研究东说念主员提交精巧舛误叙述德宏铝皮保温工程临，并通过现款励激励质料发现。

然则，曩昔两年里，AI 编码器用的快速普及，让这机制缓缓失灵。

早在 2024 年，Stenberg 就曾门写博客，谈到 AI 对 curl 表情标影响。他对舛误赏金的形容异常直白：既然是真金白银的励，当然会劝诱批“碰碰命运的东说念主”。

有些东说念主基本即是在代码里 grep 些要道词，或者酌定跑跑基础的安全扫描器，然后简直不作念任何分析就径直提交叙述，赌的即是能不成混到点赏金。

Stenberg 坦言：在舛误赏金野心刚运行的几年里，这类垃圾叙述并不是大问题。它们往往相等容易识别，丢弃老本也很低，有点像原始、弱智的垃圾邮件。

可的确让感慨者感到吃不用的是，AI 的出现，带来了不少“看起来很业”的垃圾叙述。

当份叙述写得逻辑好意思满、术语都全、论证不足为法时，团队反而需要进入多时候，反复分析，才能终阐述它毫价值。而每份安全叙述，都须由真东说念主去阅读、意会、判断。垃圾写得越“好”，耗尽的时候就越多。

灾祸的是，Stenberg 暗示，安全问题在表情先中往往于切。份舛误叙述，可能会径直断斥地者正在处理的其他责任。淌若后发现这是份 AI 生成的垃圾，果即是：安全没升迁，bug 没修，新也没作念，元气心灵却被耗空。

Stenberg 指出，不少东说念主会把 curl 的代码径直丢进大模子里，然后把模子输出刻舟求剑地四肢舛误叙述提交。常见的情况是：复制粘贴之后，再掺点我方的话。

果即是：叙述不是 AI 原话，但依然是坨“垃圾”。

2025 年情况变得发严重

淌若说 2024 年仅仅 AI 垃圾舛误叙述开动侵入 curl 的年，那么 2025 年，这趋势仍是演变成个法疏远的现实问题。

2025 年 5 月，因为 AI 生成的舛误叙述泛滥，Stenberg 在 Linkedln 上发帖称：“我受够了......咱们实践上正在遭受 DDoS 挫折......”

同庚 7 月，看出来相等痛恨的 Daniel Stenberg 又在个东说念主博客上径直发布了篇名为《被数低质垃圾点点拖死》的著作，其中他给出了组驰魂宕魄的数据：

落幕当年，AI 垃圾叙述大要占统统提交的 20，而 curl 平均每周只会收到两份安全叙述。到 7 月初，2025 年提交的叙述中，只好约 5 终被证实为真实舛误，铝皮保温这比例比拟往年大幅着落。

这促使他开动负责探究，舛误赏金野心是否还有链接存在的敬爱。

Stenberg 露馅，自 2019 年启动以来，该野心共披发 81 笔励，总和过 9 万好意思元。此前，curl 的舛误赏金表情托管在 HackerOne 平台，条件叙述者露馅是否使用了生成式 AI。表情并未不容 AI 赞成，但明确暗示不饱读吹。

战略中写得很知晓：“在提交任何叙述之前，你都应该反复核查 AI 给出的统统事实和判断。往走动说，避使用 AI 会好。”

乍看，每周平均两份舛误叙述似乎并不算多。但问题在于，curl 的安全团队只好 7 名成员。

按照 Stenberg 的说法，每份叙述往往需要 3 到 4 名审查者共同评估，统统这个词过程少则 30 分钟，多则 3 个小时。

“我个东说念主仍是在 curl 上进入了多数时候，再糟践三个小时，拼凑还能挤出时候作念别的事，”他挟恨说念，“但我的共事们并不是全职感慨 curl，他们周可能只好三小时能分给这个表情。”

别提，历久处理这些令东说念主麻痹的垃圾，对心扉的耗尽有多大。

不得不关闭“舛误赏金野心”

如今跟着时候来到了 2026 年，Daniel Stenberg 于上周在邮件列表中，目生地晒出了我方曩昔周的责任清单，用来评释：事情到底是何如步步失控的。

他说，不妨和大共享下，这周详底发生了什么，为什么我方会忙到“不可开交”。

16 小时，7 份叙述，份组成安全舛误

在上周刚拉开帷幕之际，curl 团队就在 16 个小时内，通过 HackerOne 收到了 7 份问题叙述。其中确乎有几份属于正经 bug，光是处理、考证这批内容，就花掉了团队异常多的时候。

但 Daniel Stenberg 终得出论断——莫得份组成的确的安全舛误。

此时，“赏金”的存在，客不雅上饱读吹了些东说念主提交多数粗鄙、枯竭研究、简直莫得考证过程的叙述——不论这些内容是不是 AI 生成的。现时这种近乎“激流式”的提交，仍是让 curl 的安全团队承受了大压力。

是以 Daniel Stenberg 下定决心，关闭赏金野心。这亦然为了减少侵扰，替感慨者减负。

Stenberg 暗示，仍然但愿——或者说，即便不再支付报酬，的确有价值的安全舛误，依然会有东说念主惬心主动叙述。这个假定是否诞生，只可交给时候来考证。

是否该“公开点名”愚蠢提交？

除了叙述数目自身，Stenberg 还提到了件具争议的事情。

上周，他和位曾提交过较着 AI 生成垃圾叙述的用户，进行了万古候的疏导。这份叙述来自 HackerOne，而他此前曾经在公开场对其进行过嘲讽。

Stenberg 暗示，此次交流自身对他是有价值的。它教导我方：好多时候，这些提交者并不定是坏心的，他们可能仅仅被误的普通东说念主，甚而确凿有可能从中吸取告诫、改造作念法。

但在这个具体案例中，对坚称：Stenberg 在 Mastodon 上的用词，以及附带商酌公开那份问题叙述的举止，“烧毁了他的工作糊口”。

对此，Stenberg 并不认可。他指出，我方并不知说念对的真实身份——不知说念姓名、方位地、使用的话语、别，甚而不知说念对身处哪个大洲。唯能识别的，仅仅对在次叙述中使用过的个黑客笔名。

何况，这类愚蠢叙述的数目实在太多了，多到你甚而分不清他其时具体是在说哪个东说念主。

虽然，Stenberg 也承认，这内部确乎存在个抒发范例问题。

但他依然以为，公开曝光、征询，甚而嘲讽那些糟践感慨者时候的举止，自身即是种有的信息传递式。他但愿传达的限定很轻便：

淌若你并不的确意会个 bug 或舛误，也法复现它，那就恒久不要提交叙述。

淌若依然聘任这样作念，他以为我方有权感到大怒，也有权抒发动怒。

与此同期，他也教导我方需要保手克制——对也许仅仅个犯了次造作的年青东说念主，改日仍然可能作念出秀的作品。

跟着 curl 渐渐离开 HackerOne，这种“公开示例”的作念法大约会变得勤劳。但 Stenberg 暗示，他仍然需要想主义，把灾祸的案例拿出来示众，不然这些问题只会再重演。

AI 并非原罪，但代价正在失控

需要强调的是，Stenberg 并非反对切 AI 赞成。

客岁 9 月，他曾公开表扬位研究东说念主员——对借助系列 AI 器用，提交了份详实的舛误清单，终匡助 curl 团队建筑了 22 个舛误。

这位研究东说念主员名叫 Joshua Rogers，主要使用的是款名为 ZeroPath 的 AI 代码分析器用。

Stenberg 的评价是：“这是智慧东说念主在善用巨大的器用。咱们收到的灾祸的叙述，大多来自那些只会向 AI 发问，却根底不睬解谜底的东说念主。”

缺憾的是，这样的正面案例仅仅少数。

如今，AI 生成的内容仍是在多个域泛滥：音乐平台上充斥着被造作标注到著明艺东说念主名下的 AI 歌曲，荐系统缓缓失；而 curl 取消舛误赏金野心，大约恰是另个早期信号——当“生成”变得过于低价，本来依赖信任和业判断的机制，开动承受不起这笔账。

对开源感慨者来说德宏铝皮保温工程临，问题早已不仅仅技艺，而是元气心灵、心扉，以及还能不成链接把表情作念下去。