cURL 取消漏洞懸賞(bug bounty)獎金 (★
117 分)
開源網路傳輸程式庫 cURL 宣布將取消漏洞懸賞(bug bounty)獎金,主因是專案近來遭大量 AI(人工智慧)產出的錯誤回報淹沒,許多內容幾乎是胡扯或誤解,卻仍需要維護者花時間判讀與回覆。cURL 維護者 Daniel Stenberg 指出,「AI slop」(指大型語言模型大量產出、看似像樣但品質低劣的內容)與一般低品質回報近期又更嚴重,若不設法減緩就會「被淹死」;他也曾以〈Death by a thousand slops〉形容這波現象帶來的消耗戰。cURL 因此決定在 1 月底起終止獎金發放,希望拿掉一個促使人們丟垃圾回報的誘因。
報導也強調並非所有 AI 輔助回報都沒有價值:Stenberg 表示他知道超過 100 件「AI 協助」的好回報確實促成修正,只是判斷真假很耗工。過去 cURL 一共為 87 份回報付出 101,020 美元獎金,最高單筆獎金為 10,000 美元。資安漏洞獵人 Joshua Rogers(以 AI 工具輔助、但會自行複核與補強分析後才送出回報)則贊成取消獎金,認為這本該更早做;他也說對真正有能力找出 cURL 關鍵漏洞的人而言,名聲與可信度(「品牌無價」)往往比幾千美元更具吸引力。不過他也提醒,獎金對不同地區、不同社經條件的研究者價值差異很大,開發者與所謂資安研究者之間存在不對等關係,不能只用單一尺度看待誘因。
Hacker News 討論串裡,不少人貼出 cURL 在 HackerOne(漏洞懸賞平台)收到的「slop」案例與彙整清單,形容那種把 LLM(Large Language Model,大型語言模型)對話直接複製貼上、還會叫錯維護者名字、甚至引用不存在的使用者與情境的回報「看了就火大」,也有人驚訝 cURL 團隊竟能長期耐心應對。另一個常見疑問是:拿掉獎金是否真的會減少垃圾回報?有人指出除了金錢,還有「履歷與宣傳」動機——大量提交回報就能包裝成「資安專家」,因此不見得會因取消獎金而收斂;也有人提議設「入場費/押金」,若回報確實重要再退還,藉此提高亂投的成本。
但對「押金門檻」與「用 AI 對付 AI」的作法,社群也有不少反對與補充。有人認為押金會把風險轉嫁給善意通報者,且漏洞是否成立常涉及規格解讀與可利用性判斷,一旦主辦方不公平,押金可能變成扣住不退的工具;也有人點出現實中的漏洞懸賞常外包初步分流(triage,初步分流與判讀),只要回報「看起來可信」,工程師未必有餘裕爭辯就乾脆照建議修掉,導致低品質回報在統計上仍可能「划算」。至於「用 LLM 篩掉垃圾」的建議,反對者認為 LLM 容易被漂亮但脫離脈絡的敘述騙過,正是造成幻覺回報的根源;還有人分享公司每天收上百封 AI 偽陽性資安信與未經請求的「滲透測試(pentest)」長篇報告,內容甚至出現不可能的 IP、或不存在的 IIS(Internet Information Services,微軟網頁伺服器)漏洞,讓通報管道幾乎失效,凸顯問題已從單一專案擴散到整體資安回報生態。
👥
42 則討論、評論 💬
https://news.ycombinator.com/item?id=46701733