%20--%3e%3cdefs%3e%3cstyle%3e%20.st0%20{%20fill:%20%23061b40;%20}%20.st1%20{%20fill:%20%23306af1;%20}%20.st2%20{%20fill:%20%235ce5cf;%20}%20%3c/style%3e%3c/defs%3e%3cg%3e%3cpath%20class='st0'%20d='M55,10.5h9v3h-9v9h12V7.5h-12v3ZM64,19.5h-6v-3h6v3Z'/%3e%3cpolygon%20class='st0'%20points='69%2016.5%2078%2016.5%2078%2019.5%2069%2019.5%2069%2022.5%2081%2022.5%2081%2013.5%2072%2013.5%2072%2010.5%2081%2010.5%2081%207.5%2069%207.5%2069%2016.5'/%3e%3cpolygon%20class='st0'%20points='95%2010.5%2095%207.5%2083%207.5%2083%2022.5%2095%2022.5%2095%2019.5%2086%2019.5%2086%2016.5%2095%2016.5%2095%2013.5%2086%2013.5%2086%2010.5%2095%2010.5'/%3e%3cpath%20class='st0'%20d='M40,1.5v21h11.6l1.4-1.4v-7.6h0c0,0-1.4-1.5-1.4-1.5l1.4-1.4V2.9l-1.4-1.4h-11.6ZM50,19.5h-7v-6h7v6ZM50,10.5h-7v-6h7v6Z'/%3e%3c/g%3e%3cpath%20class='st1'%20d='M23.1,24L14.7,4.8l-4.9,11.2h3.8l-1.8,4H3.3L12.1,0H2C.9,0,0,.9,0,2v20c0,1.1.9,2,2,2h21.1Z'/%3e%3cpath%20class='st2'%20d='M34,0h-16.8l10.6,24h6.2c1.1,0,2-.9,2-2V2C36,.9,35.1,0,34,0ZM32.5,20h-4V4h4v16Z'/%3e%3c/svg%3e)
由於 AI 生成的虛假漏洞報告氾濫,知名開源項目 Node.js 官方宣佈,將暫停通過 HackerOne 平臺向漏洞報告者發放現金獎勵。
漏洞賞金平臺 HackerOne 表示,近年來大量用戶利用 AI 工具大規模掃描並提交漏洞報告。這種行爲導致開源社區的平衡被打破:發現漏洞(或疑似漏洞)的速度已遠超開發者修復的速度。更嚴重的是,其中充斥着大量低質量、誤報甚至僞造的報告。
爲此,HackerOne 的“互聯網漏洞賞金計劃”(IBB)已停止接收新報告,這也直接切斷了 Node.js 獎勵金的外部來源。
作爲一個由社區志願者主導的項目,Node.js 並沒有獨立預算來支付賞金。安全公司 Socket 指出,Node.js 實際上早已在調整機制:
審覈負擔: 每份報告都需要開發者投入大量精力覈實,而 AI 生成的低質量內容極大地浪費了志願維護者的時間。
門檻提高: 爲了抵禦 AI 轟炸,項目組此前已大幅提高提交門檻,但仍難以抵擋自動化工具的衝擊。
流程不變,僅停發獎金
Node.js 強調,雖然獎金暫停,但安全保障並未“打折”:
提交流程: 研究人員仍可通過 HackerOne 提交漏洞。
處理優先級: 團隊將維持原有的響應速度和補丁發佈流程,確保項目安全性。
Node.js 並非孤例。今年1月,知名網絡工具 cURL 也因遭到 AI 生成的報告“狂轟亂炸”而被迫終止了賞金計劃。這反映出在生成式 AI 普及後,傳統的開源激勵機制正面臨系統性挑戰:如何篩選出真正有價值的專業反饋,已成爲開源社區急需解決的難題。