# 开源网络工具 cURL 开发者示警"高质量混乱"：AI 提速漏洞挖掘，开源维护者修不过来

- 来源：IT之家（RSS）
- 发布时间：2026-04-24 10:51
- AIHOT 分数：64
- AIHOT 链接：https://aihot.virxact.com/items/cmocbzr1d02neslsjqmw9wexa
- 原文链接：https://www.ithome.com/0/942/951.htm

## AI 摘要

cURL开发者Daniel Stenberg警示，AI生成的漏洞报告已从“垃圾信息”演变为“高质量混乱”。2026年报告提交频率激增至2025年的2倍，平均间隔跌破25小时，导致维护者工作量指数级增长。尽管报告质量提升，真实漏洞确认比例反弹至约16%，但高频提交仍使维护者不堪重负。同时，AI工具也缩短了攻击者的漏洞挖掘时间，可能在修复前被利用，加剧了安全风险。

## 正文

IT之家 4 月 24 日消息，开源网络工具 cURL 开发者 Daniel Stenberg 于 4 月 22 日发布博文，指出 AI 生成的漏洞报告已从“垃圾信息”演变为“高质量混乱”。

IT之家曾于今年 1 月报道，Stenberg 指出因 cURL 安全漏洞赏金项目（cURL Bug Bounty）持续收到大量 AI 生成的虚假漏洞报告，于 2 月 1 日终止这项赏金项目。

Stenberg 在最新博文中指出，在终止赏金项目，转回 Hackerone 平台后，安全报告提交频率不降反升，达到 2025 年的 2 倍。他用“高质量混乱”定义这一新阶段：虽然 AI 生成的报告质量大幅提升，但提交频率的激增正将开源维护者推向超负荷边缘。

Stenberg 表示在 2020 至 2024 年间，平均每 100 小时才有一次漏洞提交。2025 年这一间隔缩短至 50 小时以内。进入 2026 年，提交间隔已跌破 25 小时。这意味着维护者几乎每天都要处理新的报告，工作量呈指数级增长。

尽管数量激增，报告的有效性却未降反升。2025 年初，被确认为真实安全问题的比例曾从 13% 跌至 5%。然而近期该数据强劲反弹，目前已接近 16%，甚至超过了 2024 年的水平。这表明 AI 工具在漏洞挖掘领域的准确度正在显著优化，不再单纯制造垃圾信息。

Stenberg 认为 AI 工具已成为安全报告的标准配置，虽然报告者鲜少提及具体工具，但从措辞和重复度可明确辨识 AI 痕迹。与 2025 年初的低质“AI 垃圾”不同，现在的 AI 辅助报告质量极高。

更严峻的风险在于攻防时间差。Stenberg 警告称，恶意攻击者同样可以使用这些 AI 工具快速发现漏洞。在维护者修复问题之前，攻击者可能已经利用漏洞发起攻击。
