4 月 13 日消息,漏洞赏金平台 HackerOne 宣布,由于近年来有大量用户利用 AI 扫描提交漏洞报告,导致开源生态平衡遭打破,发现漏洞的速度赶不上修复漏洞的速度,同时也存在大量虚假漏洞报告,因此即日起平台“互联网漏洞赏金计划”(IBB)将停止接收新的漏洞提交报告,而这一变化也迅速波及多个开源项目。
Node.js 官方随后发布公告称,由于 HackerOne 相应赏金计划暂停运作,其漏洞奖励的资金来源被切断。作为一个以社区志愿者为主导的开源项目,Node.js 并没有独立预算来持续支付漏洞赏金,因此在缺乏外部资金支持的情况下,将暂停向漏洞报告者发放奖励。
不过 Node.js 强调,安全漏洞的提交流程并未发生变化,研究人员仍可通过 HackerOne 平台提交问题。项目团队仍会以同等优先级处理漏洞,相关披露政策、响应时间以及补丁发布流程均保持不变。
公开信息显示,HackerOne 的“互联网漏洞赏金计划”由多家软件公司共同出资,自 2012 年正式启动,主要为漏洞发现者提供一系列现金奖励,累计发放金额已超过 150 万美元(注:现汇率约合 1025.7 万元人民币)。
针对 Node.js 这一变化,安全公司 Socket 指出,在 HackerOne“互联网漏洞赏金计划”接停止接收新的漏洞提交报告之前,Node.js 实际上已经开始调整其漏洞赏金机制,大幅提高提交门槛,这主要是因为奖励机制吸引了大量低质量 AI 虚假漏洞报告,然而每逢遇到漏洞报告,开发者需要投入大量精力进行核实,给志愿维护者带来极大负担。
值得注意的是,Node.js 并非唯一受到 AI “刷漏洞”影响的项目。例如今年 1 月,cURL 也宣布终止其漏洞赏金计划,原因同样是遭到 AI 生成的低质量漏洞报告轰炸。
