知名開源數據傳輸庫 curl 宣佈將終止其漏洞賞金（Bug Bounty）計劃。從 2026 年 1 月底起，漏洞提交將不再伴隨經濟獎勵。過去參與者可通過提交漏洞獲得獎金，但這種機制目前不再適用。此次調整的核心原因是項目維護團隊面對海量由生成式 AI 提交的低質量漏洞報告所帶來的巨大負擔。

隨着 AI 技術和自動化測試工具的普及，很多“安全漏洞報告”並非真實問題，而是AI模型寫出的虛假或沒有實際價值的報告。這些報告看起來合理，但實際上並不會帶來真正的安全改進，反而需要維護者花費大量時間去驗證和篩查。curl 創始人兼核心維護者 Daniel Stenberg 指出，這些“AI垃圾（AI slop）”已經讓團隊不堪重負。

雖然取消了漏洞賞金，但真正的、具備價值的安全分析仍然歡迎提交給項目，維護者鼓勵開發者繼續關注代碼質量與漏洞修復。取消獎金的目的之一是希望減少僅為獲取獎勵而生成的海量虛假提交，從而讓維護者有更多精力處理真正的安全問題。

安全研究員 Joshua Rogers 等人認為，儘管取消賞金可能打擊一部分積極貢獻者，但從長遠看，有助於過濾掉由 AI 自動生成且冗餘的低質報告，提升整體漏洞管理效率。

推薦閲讀：

curl 創始人被 AI 垃圾“逼瘋了”

curl 2025 年度總結：commit 超過 3400 次、發佈 8 個版本