近年来,人工智能技术的兴起对软件开发和维护产生了深远的影响。尤其是在漏洞报告领域,随着生成式AI工具的普及,越来越多的低质量、安全价值有限的报告涌入开源项目,给维护者带来了沉重负担。以著名开源命令行工具Curl的创始人和主开发者丹尼尔·斯滕伯格为例,他公开表达了对AI生成“垃圾”漏洞报告的无奈与困扰,并表示正在认真考虑取消Curl的漏洞悬赏项目以应对这一局面。Curl作为全球广泛使用的数据传输工具,其安全性至关重要,因此漏洞悬赏计划从2019年启动以来,已经发放了超过9万美元,奖励了81个有效的安全漏洞。然而,2025年以来,报告的大量涌入不仅没有提升项目安全反而加大了维护团队的工作压力。由于Curl的安全团队只有七名成员,每周平均收到两份安全报告,且其中约20%的报告由AI工具生成,导致有效率骤降,仅有约5%的报告能够确认是真实漏洞。
这样的现象对只有少数专业维护者的开源项目来说,无疑是一种巨大挑战。斯滕伯格描述这些由生成式AI编写的报告为“AI垃圾”(AI slop),指出它们不仅浪费了维护团队的宝贵时间,更带来了情感上和心理上的负担。这些报告往往缺乏准确性,令人难以区分是否由人类编写,质量参差不齐。即使在某些报告中引用了AI成果,Curl的漏洞悬赏项目也要求报告者必须披露是否使用了AI辅助,同时建议尽量避免依赖AI。尽管如此,报告的数量和质量问题仍未得到根本改善。面对这一问题,斯滕伯格提出了几种潜在应对措施,包括可能停止悬赏资金的发放或对提交漏洞报告收取一定费用。
但他也坦言,这些方法均存在弊端,取消资金奖励未必能完全遏制无效的报告洪流,而收取费用则可能阻碍新晋安全研究者的积极性和行业准入。此外,漏洞报告平台HackerOne正在尝试通过限制报告提交条件,例如仅允许经过验证的安全研究者参与,以提高报告质量,但这一措施也担忧会让行业门槛提升,不利于培养初级安全人才。不仅是Curl,开源社区内多个项目和平台均反映出类似的困境。Python软件基金会的安全开发者塞斯·拉森此前就公开抨击AI生成的劣质安全报告给生态带来的负面影响。开源资金筹集平台Open Collective同样报道受AI垃圾信息泛滥困扰,迫使他们考虑技术和管理手段的升级。这一系列事件体现了人工智能在改善开发流程同时,也带来了新的安全和管理难题。
AI技术的双刃剑效应在软件安全领域尤为明显。虽然自动化工具和AI分析能显著提升漏洞挖掘效率及代码质量检查水平,但一旦被滥用,生成大量低价值甚至误导性的信息,反而增加了维护成本,加剧维护者的心理疲劳。如何平衡AI应用和风险控制,成为当前软件安全管理的重要课题。专家普遍认为,要从制度、技术和社区文化多方面入手。一方面,漏洞报告平台和项目团队需要制定更严格的报告筛选机制和标准,利用AI辅助审核,提升筛选效率并减少人工负担。另一方面,推动AI工具使用者的责任意识和诚实申报,确保报告透明可信。
社区层面,也需更多普及关于AI在安全领域的正确应用,引导研究者理性利用AI优势,避免过度依赖或盲目信任生成内容。同时,既要保护社区新人和初级研究者的成长空间,也要保障项目的安全性和维护者的工作质量。此外,技术创新也是解决之道,如开发更智能的漏洞报告验证工具,通过自动化+人工复核的混合机制,快速识别并过滤掉无效或重复报告。像谷歌、Anthropic、OpenAI等大型AI公司与国防机构的合作也表明,人工智能将在网络安全领域发挥日益重要的作用,推动保护关键基础设施和开源生态。然而,Curl创始人的困境凸显,技术进步的同时,背后仍需建立相应的规则和社会共识,才能真正实现双赢。总之,在AI迅猛发展的时代,开源项目的安全维护面临新的压力和挑战,Curl团队的实践经验具有重要借鉴意义。
科学合理地管理和应用AI产生的内容,将是未来提升软件安全质量、维持生态健康的关键。各方应携手合作,打造更智能、更高效且更人性化的安全管理体系,让AI真正成为安全防御的助力,而非负担。
