4 月 24 日消息,开源网络工具 cURL 开发者 Daniel Stenberg 于 4 月 22 日发布博文,指出 AI 生成的漏洞报告已从“垃圾信息”演变为“高质量混乱”。
曾于今年 1 月报道,Stenberg 指出因 cURL 安全漏洞赏金项目(cURL Bug Bounty)持续收到大量 AI 生成的虚假漏洞报告,于 2 月 1 日终止这项赏金项目。
Stenberg 在最新博文中指出,在终止赏金项目,转回 Hackerone 平台后,安全报告提交频率不降反升,达到 2025 年的 2 倍。他用“高质量混乱”定义这一新阶段:虽然 AI 生成的报告质量大幅提升,但提交频率的激增正将开源维护者推向超负荷边缘。
Stenberg 表示在 2020 至 2024 年间,平均每 100 小时才有一次漏洞提交。2025 年这一间隔缩短至 50 小时以内。进入 2026 年,提交间隔已跌破 25 小时。这意味着维护者几乎每天都要处理新的报告,工作量呈指数级增长。
尽管数量激增,报告的有效性却未降反升。2025 年初,被确认为真实安全问题的比例曾从 13% 跌至 5%。然而近期该数据强劲反弹,目前已接近 16%,甚至超过了 2024 年的水平。这表明 AI 工具在漏洞挖掘领域的准确度正在显著优化,不再单纯制造垃圾信息。
Stenberg 认为 AI 工具已成为安全报告的标准配置,虽然报告者鲜少提及具体工具,但从措辞和重复度可明确辨识 AI 痕迹。与 2025 年初的低质“AI 垃圾”不同,现在的 AI 辅助报告质量极高。
更严峻的风险在于攻防时间差。Stenberg 警告称,恶意攻击者同样可以使用这些 AI 工具快速发现漏洞。在维护者修复问题之前,攻击者可能已经利用漏洞发起攻击。
