由于 AI 生成的虚假漏洞报告泛滥,知名开源项目 Node.js 官方宣布,将暂停通过 HackerOne 平台向漏洞报告者发放现金奖励。
漏洞赏金平台 HackerOne 表示,近年来大量用户利用 AI 工具大规模扫描并提交漏洞报告。这种行为导致开源社区的平衡被打破:发现漏洞(或疑似漏洞)的速度已远超开发者修复的速度。更严重的是,其中充斥着大量低质量、误报甚至伪造的报告。
为此,HackerOne 的“互联网漏洞赏金计划”(IBB)已停止接收新报告,这也直接切断了 Node.js 奖励金的外部来源。
作为一个由社区志愿者主导的项目,Node.js 并没有独立预算来支付赏金。安全公司 Socket 指出,Node.js 实际上早已在调整机制:
-
审核负担: 每份报告都需要开发者投入大量精力核实,而 AI 生成的低质量内容极大地浪费了志愿维护者的时间。
-
门槛提高: 为了抵御 AI 轰炸,项目组此前已大幅提高提交门槛,但仍难以抵挡自动化工具的冲击。
流程不变,仅停发奖金
Node.js 强调,虽然奖金暂停,但安全保障并未“打折”:
-
提交流程: 研究人员仍可通过 HackerOne 提交漏洞。
-
处理优先级: 团队将维持原有的响应速度和补丁发布流程,确保项目安全性。
Node.js 并非孤例。今年1月,知名网络工具 cURL 也因遭到 AI 生成的报告“狂轰乱炸”而被迫终止了赏金计划。这反映出在生成式 AI 普及后,传统的开源激励机制正面临系统性挑战:如何筛选出真正有价值的专业反馈,已成为开源社区急需解决的难题。
