Node.js 因AI生成虚假报告涌入系统而暂停漏洞赏金支付
AI生成报告迫使 Node.js 暂停漏洞赏金
由于大量低质量的AI生成报告涌入,使志愿者维护者不堪重负,Node.js 项目已暂停其漏洞奖励支付。这一流行的开源运行时环境做出了艰难决定,通过 HackerOne 暂停现金奖励支付,同时继续接受和审查安全提交。
AI泛滥问题
安全研究人员担忧地发现,AI工具正日益自动化漏洞扫描。一位不愿透露姓名的 Node.js 维护者解释称:“过去是经过充分研究的报告涓涓细流,如今却成了自动化提交的消防水管。”许多报告包含重复的发现、误报,甚至是完全捏造的漏洞。
为 Node.js 提供奖励资金的互联网漏洞赏金(IBB)计划已完全停止接受新报告。这使得 Node.js —— 一个没有企业支持、由社区驱动的项目 —— 无法在过滤AI噪音的同时向合法的研究人员支付报酬。
志愿者倦怠迫近
对于依赖志愿者劳动的开源项目来说,每份AI生成的报告都意味着宝贵时间的浪费:
- 审查超载: 维护者花费数小时核实往往毫无意义的报告
- 门槛调整: 去年实施的更高提交要求对自动化工具无效
- 机会成本: 追查虚假报告的时间意味着修复真实漏洞的时间减少
“这很令人沮丧,”另一位团队成员承认道,“你打开一份看似严肃的报告,结果发现只是AI用技术术语包装的幻觉。”
安全仍是优先事项
Node.js 强调这并不是安全降级:
- 提交继续: HackerOne 门户仍对合法报告开放
- 响应不变: 已验证的漏洞仍会得到及时关注
- 补丁不受影响: 项目的安全更新流程继续畅通无阻
Node.js 与其他项目(如 cURL)一起应对这一新现实。正如一位开发人员所说:“我们并不反对AI工具——我们只是需要时间调整流程以适应这种新常态。”
关键点:
- Node.js 因AI生成报告泛滥暂停现金奖励
- 志愿者维护者不堪低质量提交的重负
- 尽管赏金暂停,安全审查和修补仍在继续
- 开源项目难以适应AI驱动的漏洞扫描
