Node.js因AI生成垃圾信息暂停漏洞赏金计划
开源项目在安全报告中与AI垃圾信息展开斗争
Node.js团队在大量AI生成报告堵塞其提交系统后,暂停了漏洞奖励计划。这个被数百万开发者使用的流行JavaScript运行时发现,其志愿者维护者花费在筛选虚假报告上的时间超过了处理实际安全问题的时间。
AI洪水问题
托管Node.js漏洞赏金计划的平台HackerOne注意到一个令人担忧的趋势:自动化工具大规模扫描代码并提交可疑发现。"曾经是经过充分研究的少量报告,现在变成了机器生成噪音的洪流,"一位要求匿名的维护者解释道。
安全公司Socket分析了影响:
- 时间消耗: 每份报告需要人工验证,而AI提交往往包含模糊或捏造的信息
- 门槛挑战: 即使提高了提交标准,自动化工具仍能通过
Node.js的应对措施
虽然现金奖励暂时取消,但项目强调安全仍是首要任务:
- 漏洞提交仍通过现有渠道接受
- 响应时间和补丁发布将继续保持不变
- 团队正在探索奖励有意义的贡献的替代方法
这不是孤立案例。今年早些时候,cURL面临类似挑战,最终完全关闭了其赏金计划。随着生成式AI工具变得更加容易获得,全球的开源项目都在争先恐后地调整其奖励系统。
关键点
- Node.js因AI生成报告垃圾信息暂停现金奖励
- 志愿者维护者被低质量提交内容压垮
- 安全响应程序保持全面运行
- 类似挑战影响其他主要开源项目
- 社区正在探索保存激励系统的解决方案
