最近开源项目维护者们遭遇了前所未有的挑战，AI生成的漏洞报告像洪水般涌入社区。curl项目创始人Daniel Stenberg在领英发帖称，他已经对AI生成的大量"垃圾"漏洞报告忍无可忍。这些报告让维护人员每天要处理大量AI生成的漏洞报告，但往往发现内容一无可取，效果堪比DDoS攻击。Stenberg在LinkedIn上引用了近期一份令他忍无可忍的报告，直言"到此为止吧，我受够了。我要坚决制止这种疯狂行为"。

如今HackerOne平台对curl项目的安全报告提交者提出了新要求。所有提交curl相关安全报告的研究人员，现在必须回答"您是否使用AI来发现该漏洞或生成此报告"。如果选择"是"，bug报告者将面临一连串后续问题，包括要求提供相关证据以证明该bug真实存在。curl团队才会花时间加以验证。Stenberg补充道，"现在我们会立即封禁所有被认定为提交AI垃圾内容的报告者。这种情况对我们的骚扰已经达到临界点，如果可以，我真想向他们收取费用，以弥补这种平白浪费我们时间的行为。"

开源维护者正被AI生成的bug报告淹没。Python开发团队的Seth Larson早在去年12月就对这类AI漏洞报告表达担忧。他表示回应这些报告既费钱又费时，因为从表面上看其内容似乎煞有介事，必须经过专业审查才能确认其真实性。Larson写道："这些纯属浪费时间的安全报告带给维护人员的不只是困惑、压力和沮丧，更糟糕的是，那些传播谣言的人往往毫不在意事实真相。"

AI生成的漏洞报告让低技能人士有了机会，他们会利用AI生成内容快速提交报告，指望着从中快速获利。但Stenberg表示利用AI碰运气申请赏金奖励的可不只是新手和骗子——不少拥有一定声誉的参与者也加入了这一行列。两天前收到的报告让这位项目创始人的怒火彻底爆发——这是一份极其典型、毫无营养的AI生成材料。这份报告宣称"发现了一个利用HTTP/3协议栈中流依赖项循环的新型漏洞，此漏洞会导致内存损坏，并可能引发拒绝服务或者远程代码执行攻击"。但最终证明，其内容指向的是一些根本不存在的函数。

网友对AI生成漏洞报告的担忧与日俱增。在Hacker News上，有用户表示，这种AI生成的漏洞报告很像社交媒体时代的典型困境，但放在技术层面，造成的后果要严重得多："我们正被海量的虚假信息所淹没。每一条荒谬言论都需要耗费大量时间和精力去澄清和反驳，但就在我们忙于证伪某一条谣言的同时，又有十条新的谣言在网络上疯狂传播。"还有用户指出，AI生成的bug报告耗光了开发者的心力或许还不是最糟糕的，更糟糕的是高层管理者他们相信了AI："当前最严重的问题在于，企业高层被'AI替代论'所蛊惑，天真地认为可以裁撤资深程序员，转而依赖应届毕业生在AI辅助下完成同等工作。"

在开源社区，人们采取更务实的应对方式：当收到明显由AI生成的漏洞报告时（这类报告往往特征显著），我会先给予提交者一次改正机会，耐心解释为何这种做法有害。但如果他们再次提交类似内容，我会毫不犹豫地将这些"技术噪音"彻底过滤——这不仅是效率问题，更是对社区质量的必要捍卫。有用户怀疑这是否是恶意竞争的"阴谋论"，质疑道："这些AI垃圾层出不穷，到底是哪里来的，难道它们背后有'资助者'？"另一位用户解答："没人资助他们。这些利用AI提交bug报告的人可能都是些新手，要么想'帮忙'，要么想出人头地。他们不明白，在开源软件领域有几十年经验的人，在打开邮件之前就能嗅出些'猫腻'。"