北京
去年還在罵AI生成垃圾漏洞報告的人,今年開始懷念那些垃圾了。
curl項目創始人Daniel Stenberg最近公布了一組反直覺數據:AI生成的安全報告質量飆升,項目維護者的工作量反而暴增。這不是段子,是開源社區正在發生的結構性扭曲。
從"一眼假"到"不得不看"
Stenberg的原話很直白:「過去幾個月,我們不再收到AI垃圾安全報告了。它們消失了。取而代之的是數量激增的高質量報告,幾乎全是AI輔助完成的。」
翻譯一下:以前AI寫的報告錯得離譜,維護者掃一眼就能扔。現在AI學會了專業術語、正確格式、合理推測,報告看起來都像那么回事——但維護者得逐條核實。
Linux內核維護者Greg Kroah-Hartman也確認了同樣趨勢。AI輔助的漏洞報告里,有效 concern 的比例明顯上升,小團隊已經跟不上了。
這里有個殘酷的算術題:假設以前100份報告里10份值得看,維護者花10分鐘篩掉90份垃圾,再看10份;現在100份里50份值得看,篩垃圾的時間省了,但要看50份。總工時從100分鐘漲到250分鐘。
更麻煩的是,"值得看"不等于"真有問題"。
CVE通脹:報告多了,漏洞沒多
Stenberg曬了curl的公開關閉報告列表。大量報告被關閉的原因不是"假陽性",而是"嚴重性不足"——技術上確實存在某種異常,但構不成可利用的安全漏洞。
典型案例:一個curl庫的數據競爭(data race,多線程訪問沖突)被提交者當作潛在CVE(通用漏洞披露)來報。最終修復了,但定性只是"信息性"問題,不給編號。
這類報告的問題在于,它占用了完整的審核流程。維護者得復現、得評估影響面、得寫回復、得協調修復——最后發現是個 cosmetic fix。
AI把"發現潛在問題"的門檻打到地板價,但"判斷問題嚴重性"的專業門檻紋絲不動。開源項目的人力池子就這么大,池子邊緣已經開始溢出了。
賞金獵人退場,但報告不會停
2024年Stenberg公開炮轟AI slop(AI生成的低質量內容)時,curl還在發漏洞賞金。今年1月,他直接停了。
動機很明確:砍掉經濟激勵,讓投機性提交無利可圖。無論是專門刷獎的自動化系統,還是用AI生成報告卻懶得人工核查的"半自動"提交者,沒錢就散了。
但報告數量沒散。質量提升后的AI輔助研究,已經脫離了"賞金驅動"的單一邏輯。安全研究員用AI掃描、驗證、撰寫報告,是工作流的一部分,不是副業。
互聯網漏洞賞金計劃(Internet Bug Bounty)3月底也停了,連帶著關閉了Node.js專項賞金。公告寫得很坦誠:「發現圖景正在改變。AI輔助研究擴展了生態系統的漏洞發現范圍,覆蓋面和速度都在提升。開源社區中'發現能力'與'修復能力'的平衡已經實質性傾斜。」
翻譯:我們發錢的速度追不上AI找bug的速度,先暫停,想想怎么 redesign 激勵機制。
Linux維護者Willy Tarreau的回應更尖銳。他提到有些提交者把AI輸出原樣粘貼,連格式錯誤都不改——不是不會改,是根本沒看。AI成了責任外包工具:「工具說的,你找工具去。」
當"更好"變成"更累"
這個悖論的核心在于:AI提升的是輸出質量的下限,不是上限。它把60分的報告批量生產到80分,但80分到95分仍需人類專家的判斷。
而開源維護者的核心技能,恰恰是這個"從80分里挑95分"的篩選工作。以前他們篩的是沙里淘金,現在篩的是金里挑鉆——沙少了,但金多了,總工作量只增不減。
Stenberg的數據沒有公開具體增幅,但"ever-increasing amount"和"faster than ever"的表述,配合其他維護者的佐證,指向一個明確趨勢:單位時間內的有效報告輸入在指數級增長。
這不是curl獨有的困境。任何依賴人工審核的開源基礎設施——安全、代碼、文檔——都面臨同樣的剪刀差:AI產出效率的提升曲線,與人類審核能力的線性供給之間的裂縫。
目前的應對策略都是收縮性的:停發賞金、關閉提交入口、排隊延遲。沒有項目敢公開說"我們不再接受AI輔助報告",因為技術上無法檢測,道德上站不住腳。但激勵結構的調整,本質是在用經濟杠桿篩選提交者的認真程度。
問題是,當AI工具本身變得足夠好用,"認真提交"和"批量生成"的邊界會徹底模糊。一個資深安全研究員用AI掃描了1000個代碼庫,人工復核了其中50個可疑點,提交10份報告——這算高質量參與還是低質量灌水?
開源社區的答案機制還沒準備好。
Stenberg在帖子里沒提下一步計劃。curl的漏洞提交頁面仍然開放,只是沒錢了。對于每天花幾小時審報告的維護者來說,這可能是比"AI垃圾"更漫長的消耗戰——以前至少能痛快地扔,現在每份都得看完。
如果AI報告的準確率再漲一倍,curl的維護團隊需要擴編嗎?擴編的錢從哪來?如果準確率漲到90%但提交量漲十倍呢?
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
