DanielStenberg（curl项目的原作者和负责人）本周在LinkedIn上写道：“达到了一个阈值。我们实际上正受到DDoS攻击。如果可能的话，我们本来会对这种浪费我们时间的行为收费。”

Curl（在某些领域称为cURL）于2023年迎来25周年，作为与互联网资源交互的重要命令行工具和库，该开源项目通过多种渠道接收Bug报告和安全问题，其中包括HackerOne——一项帮助企业管理漏洞报告及赏金计划的服务。近年来，HackerOne积极借助AI工具，其主页上写道：“Oneplatform,dualforce:Humanminds+AIpower。”

Stenberg表示，他已经“受够了”，并坚决“制止这种疯狂”，建议对每一份涉嫌由AI生成的HackerOne报告，都要求报告者验证是否曾使用AI来发现问题或生成报告。如果一份报告被认定为“AI垃圾”，该报告者将会被禁止使用该平台。他写道：“我们至今还没有见过任何借助AI辅助下完成的有效安全报告。”

Stenberg提到，一份5月4日的报告“把我逼到了极限”，该报告提出利用HTTP/3协议栈中流依赖循环的问题来实施“新型利用”。流依赖处理不当，即程序的某一部分等待另一部分的输出，可能导致恶意数据注入、竞态条件、程序崩溃及其他问题。该报告声称，这可能使支持HTTP/3的curl面临包括远程代码执行在内的漏洞风险。

然而，正如curl团队指出的那样，提交的“恶意服务器设置”补丁文件并不适用于相关Python工具的最新版本。当被问及此事时，原始提交者以一种奇怪的提示式方式回应，回答了curl团队并未提出的问题（WhatisaCyclicDependency?）并附上了关于如何使用git工具应用新补丁的基本指令。该提交者还没有提供所要求的新补丁文件，引用了基础库中不存在的函数，并提出了针对除curl之外其它工具的加固建议。

更多工具以打击这种行为在接受Ars采访时，Stenberg表示他对帖子（截至周三早晨已获得200条评论和近400次转发）广为传播感到高兴，并说：“我非常高兴这个问题得到了关注，也许我们可以对此做些什么，同时向公众普及这就是现状。大语言模型无法发现安全问题，至少不像它们在这里被使用的那样。”

Stenberg透露，本周已出现四份此类明显误导、显然由AI生成的漏洞报告，这些报告似乎意在获取声誉或赏金资金。他说：“一个明显的特征是，报告总是写得非常得体，措辞友好，英语完美且礼貌，并配有清晰的要点……普通人在首次撰写报告时从不会这样。”

有些AI报告比其他的更容易被识别。Stenberg表示，其中一位报告者不小心将他们的提示语直接粘贴进了报告，结尾写道：“andmakeitsoundalarming.”

Stenberg称他“之前就曾就此问题与HackerOne进行了沟通”，本周他再次联系了该平台。“我希望他们能采取更强硬的措施予以应对。我希望他们能协助改善与AI工具相关的基础设施，并为我们提供更多打击这种行为的工具。”

在帖子评论中，Stenberg与开源安全公司XOR的TobiasHeldt互相讨论，建议漏洞赏金计划可以利用“现有的网络和基础设施”。Heldt表示，让安全记者缴纳保证金以审查报告，可能是一种过滤信号、降低噪音的方式。在其他地方，Stenberg较为悲观看待这一趋势，认为尽管AI生成的报告“还没有把我们淹没”，但未来趋势并不乐观。

Stenberg曾在他自己的博客中讨论过AI生成的漏洞报告，详细说明了这些报告的特征以及常见错误。Python软件基金会的安全开发驻场专家SethLarson也补充了Stenberg的发现，提供了自己的实例及建议，正如TheRegister所报道的那样。

Larson在12月写道：“如果这种情况只在我能看到的少部分项目中发生，那么我怀疑这种情况在整个开源项目中已经大规模存在。这是一个非常令人担忧的趋势。”