被 AI 生成的多数“垃圾流毒论述”拖垮，珍藏者疲于卤莽、难以评估代码质料，最终不得不叫停一项运行多年的流毒赏金狡计——这是开源数据传输器具 curl 近期发生的真实故事，也可能是越来越多开源款式正在濒临的现实。

上周，curl 独创东说念主兼首席开导者 Daniel Stenberg 向 GitHub 仓库提交了一条直白得险些有些“冷情”的 Commit，标题是：

「BUG-BOUNTY.md：咱们将于 2026 年 1 月底罢手流毒赏金狡计」

在这条提交中，他明确示意，将删除款式中扫数与流毒赏金和 HackerOne 平台相关的内容。这意味着，自 2019 年启动、捏续运行多年的 curl 流毒奖励狡计，正经走向非常。

被“AI 垃圾”压垮的微型珍藏团队

在随后公开的讲明中，Daniel Stenberg 并莫得隐私这背后的真实原因。

“咱们仅仅一个微型开源款式，活跃珍藏东说念主员数目有限，”他写说念，“咱们莫得才略去改换这些东说念主偏执‘垃圾生成器具’的运作景象。为了款式能够陆续活下去，也为了珍藏者的表情健康，咱们必须作念出更动。”

作为互联网上最常用的收罗器具之一，curl 款式连年来收到的流毒论述质料在急剧下滑，许多东说念主为了赢得赏金，而卤莽提交 AI 生成的流毒论述，成果名义看起来“留神其事”，试验上却毫无价值。

如今 curl 团队作念出这一决定在社区中飞速激发参谋。不少用户质疑，取消流毒赏金狡计更像是“治标不治本”；也有东说念主直言，这对扫数这个词流毒赏金行业来说是一种欺压。

一位用户在议论中写说念：“我为你在这个款式中际遇的低质料体验感到缺憾，同期也对扫数这个词行业的改日感到担忧——尤其是看到平台在濒临这些低质料‘猎东说念主’时，险些窝囊为力。”

他们的担忧并非莫得预想。流毒赏金狡计，历久以来被视为保险 curl 安全性的迫切渠说念之一。

对此，Stenberg 基本示意招供，但也坦言：团队如故别无聘用。

随后，curl 的 GitHub 官方账号也发布更新，证明流毒赏金狡计将于本月底正经停止。Stenberg 写说念：

流毒赏金狡计的正经停止日历定在 1 月 31 日，但我很了了，这类变更往往需要几天时分才智真实“收效”。因此提前几天吞并更新，我以为并不会对任何东说念主变成试验影响。

在关闭日历之前，咱们仍会正常接纳流毒提交；到期后将罢手受理。若是在截止时刻仍有正在处理中的提交，咱们会允许其陆续走完进程，并按照以往的圭表进程进行处理。

自 2026 年 2 月 1 日起，咱们将不再通过 HackerOne 接纳新的流毒论述，转而请全球通过 GitHub 提交安全相关问题。

同期，curl 团队也在官方的“Security.txt” 文献中，语气更为强硬地写说念：“若是有东说念主用毫无价值的论述糜掷咱们的时分，咱们会封禁其账号，并公开点名嘲讽。”

一个“老器具”的安全逆境

curl 并不是什么新兴款式。

它最早发布于 30 年前，率先名为 httpget，自后更名为 urlget，最终演变成今天险些无处不在的 curl。岂论是系统措置员、相干东说念主员照旧安全工程师，都在日常使命中常常使用它：文献传输、调试收罗申请、自动化任务……险些扫数操作系统的默许安设中，都能看到 curl 的身影。

{jz:field.toptypename/}

欺压现在，其 GitHub Star 数目达到了 40.5k，Fork 数有 7k，流行度由此可见一斑。

正因为它被用于处理海量收罗数据交互，安全性一直是项指标人命线。

和许多开源款式雷同，curl 团队历久依赖外部相干东说念主员提交奥妙流毒论述，并通过现款奖励激励高质料发现。

然则，往时两年里，AI 编码器具的快速普及，让这一机制渐渐失灵。

早在 2024 年，Stenberg 就曾有益写博客，谈到 AI 对 curl 项指标影响。他对流毒赏金的态状迥殊直白：既然是真金白银的奖励，当然会引诱一批“碰碰命运的东说念主”。

有些东说念主基本等于在代码里 grep 一些要道词，或者酌定跑一跑基础的安全扫描器，然后险些不作念任何分析就径直提交论述，赌的等于能不可混到点赏金。

Stenberg 坦言：在流毒赏金狡计刚运行的几年里，开云体育官方网站这类垃圾论述并不是大问题。它们平方相配容易识别，丢弃资本也很低，有点像最原始、最弱智的垃圾邮件。

可真实让珍藏者感到吃不用的是，AI 的出现，带来了不少“看起来很专科”的垃圾论述。

当一份论述写得逻辑齐备、术语都全、论证不足为训时，团队反而需要干与更多时分，反复分析，才智最终证明它毫无价值。而每一份安全论述，都必须由真东说念主去阅读、意会、判断。垃圾写得越“好”，虚耗的时分就越多。

更倒霉的是，Stenberg 示意，安全问题在款式优先级中往往高于一切。一份流毒论述，可能会径直打断开导者正在处理的其他使命。若是临了发现这是一份 AI 生成的垃圾，成果等于：安全没普及，bug 没修，新功能也没作念，元气心灵却被透顶耗空。

Stenberg 指出，不少东说念主会把 curl 的代码径直丢进大模子里，然后把模子输出率由卓章地动作流毒论述提交。更常见的情况是：复制粘贴之后，再掺点我方的话。

成果等于：论述不饱和是 AI 原话，但依然是一坨“垃圾”。

2025 年情况变得愈发严重

若是说 2024 年仅仅 AI 垃圾流毒论述运行侵入 curl 的一年，那么 2025 年，这一趋势如故演变成一个无法无情的现实问题。

2025 年 5 月，因为 AI 生成的流毒论述泛滥，Stenberg 在 Linkedln 上发帖称：“我受够了......咱们试验上正在遭受 DDoS 抨击......”

同庚 7 月，看出来相配敌视的 Daniel Stenberg 又在个东说念主博客上径直发布了一篇名为《被无数低质垃圾少许点拖死》的著述，其中他给出了一组摄人心魄的数据：

欺压当年，AI 垃圾论述梗概占扫数提交的 20%，而 curl 平均每周只会收到两份安全论述。到 7 月初，2025 年提交的论述中，唯独约 5% 最终被证实为真实流毒，21点这一比例比拟往年大幅着落。

这促使他运行细密辩论，流毒赏金狡计是否还有陆续存在的意旨。

Stenberg 显露，自 2019 年启动以来，该狡计共披发 81 笔奖励，总和跨越 9 万好意思元。此前，curl 的流毒赏金款式托管在 HackerOne 平台，条款论述者裸露是否使用了生成式 AI。款式并未透顶绝交 AI 支持，但明确示意不饱读吹。

计策中写得很了了：“在提交任何论述之前，你都应该反复核查 AI 给出的扫数事实和判断。平方来说，幸免使用 AI 会更好。”

乍一看，每周平均两份流毒论述似乎并不算多。但问题在于，curl 的安全团队唯独 7 名成员。

按照 Stenberg 的说法，每一份论述平方需要 3 到 4 名审查者共同评估，扫数这个词过程少则 30 分钟，多则 3 个小时。

“我个东说念主如故在 curl 上干与了多数时分，再糜掷三个小时，强迫还能挤出时分作念别的事，”他怨恨说念，“但我的共事们并不是全职珍藏 curl，他们一周可能唯独三小时能分给这个款式。”

更别提，历久处理这些令东说念主麻痹的垃圾，对情谊的虚耗有多大。

不得不关闭“流毒赏金狡计”

如今跟着时分来到了 2026 年，Daniel Stenberg 于上周在邮件列表中，心事地晒出了我方往时一周的使命清单，用来讲明：事情到底是若何一步步失控的。

他说，不妨和全球共享一下，这一周全底发生了什么，为什么我方会忙到“不可开交”。

16 小时，7 份论述，无一份组成安全流毒

在上周刚拉开帷幕之际，curl 团队就在 16 个小时内，通过 HackerOne 收到了 7 份问题论述。其中照实有几份属于正经 bug，光是处理、考证这一批内容，就花掉了团队迥殊多的时分。

但 Daniel Stenberg 最终得出论断——莫得一份组成真实的安全流毒。

此时，“赏金”的存在，客不雅上饱读吹了一些东说念主提交多数约略、零落相干、险些莫得考证过程的论述——不管这些内容是不是 AI 生成的。现时这种近乎“激流式”的提交，如故让 curl 的安全团队承受了极大压力。

是以 Daniel Stenberg 下定决心，关闭赏金狡计。这亦然为了减少滋扰，替珍藏者减负。

Stenberg 示意，仍然但愿——或者说，即便不再支付报酬，真实有价值的安全流毒，依然会有东说念主景象主动论述。这个假定是否培植，只可交给时分来考证。

是否该“公开点名”愚蠢提交？

除了论述数目本人，Stenberg 还提到了一件更具争议的事情。

上一周，他和一位曾提交过彰着 AI 生成垃圾论述的用户，进行了万古分的相易。这份论述来自 HackerOne，而他此前曾经在公开场所对其进行过嘲讽。

Stenberg 示意，此次交流本人对他是有价值的。它领导我方：许多时候，这些提交者并不一定是坏心的，他们可能仅仅被误导的普通东说念主，以致确凿有可能从中吸取教导、改换作念法。

但在这个具体案例中，对方坚称：Stenberg 在 Mastodon 上的用词，以及附带一语气公开那份问题论述的行动，“毁灭了他的处事糊口”。

对此，Stenberg 并不招供。他指出，我方并不知说念对方的真实身份——不知说念姓名、方位地、使用的讲话、性别，以致不知说念对方身处哪个大洲。唯独能识别的，仅仅对方在一次论述中使用过的一个黑客别称。

况兼，这类愚蠢论述的数目实在太多了，多到你以致分不清他其时具体是在说哪一个东说念主。

固然，Stenberg 也承认，这内部照实存在一个抒发圭表问题。

但他依然以为，公开曝光、参谋，以致嘲讽那些糜掷珍藏者时分的行动，本人等于一种灵验的信息传递景象。他但愿传达的法例很简便：

若是你并不真实意会一个 bug 或流毒，也无法复现它，那就历久不要提交论述。

若是依然聘用这样作念，他以为我方有权感到大怒，也有权抒发起火。

与此同期，他也领导我方需要保捏克制——对方也许仅仅一个犯了一次不实的年青东说念主，改日仍然可能作念出优秀的作品。

跟着 curl 渐渐离开 HackerOne，这种“公开示例”的作念法好像会变得更坚苦。但 Stenberg 示意，他仍然需要想主张，把最倒霉的案例拿出来示众，不然这些问题只会一再重演。

AI 并非原罪，但代价正在失控

需要强调的是，Stenberg 并非反对一切 AI 支持。

前年 9 月，他曾公开表扬一位相干东说念主员——对方借助一系列 AI 器具，提交了一份详备的流毒清单，最终匡助 curl 团队培植了 22 个流毒。

这位相干东说念主员名叫 Joshua Rogers，主要使用的是一款名为 ZeroPath 的 AI 代码分析器具。

Stenberg 的评价是：“这是机灵东说念主在善用纷乱的器具。咱们收到的最倒霉的论述，大多来自那些只会向 AI 发问，却根蒂不睬解谜底的东说念主。”

缺憾的是，这样的正面案例仅仅少数。

如今，AI 生成的无效内容如故在多个限制泛滥：音乐平台上充斥着被不实标注到着名艺东说念主名下的 AI 歌曲，保举系统渐渐失效；而 curl 取消流毒赏金狡计，好像恰是另一个早期信号——当“生成”变得过于低价，正本依赖信任和专科判断的机制，运行承受不起这笔账。

对开源珍藏者来说，问题早已不仅仅时期，而是元气心灵、情谊，以及还能不可陆续把款式作念下去。