AI開始“薅羊毛”了：Node.js被虛假漏洞報告逼到暫停賞金

AI能寫代碼、能審代碼，現在它還能刷漏洞報告了。
4月13日，HackerOne正式暫停了運行14年的“互聯網漏洞賞金計劃”（IBB），不再接收新的漏洞提交。表面原因是平台戰略調整，實際原因只有一個：AI生成的虛假漏洞報告把維護者淹死了。
HackerOne原話是：AI工具讓漏洞發現速度遠超修復速度，平台充斥著大量低質量、誤報甚至偽造的報告，開源社區的平衡被徹底打破。
而首當其衝的，就是Node.js。
Node.js官方隨後公告：由於HackerOne賞金計劃暫停運作，項目將停止向漏洞報告者發放獎勵。作為一個純社區志願者驅動的開源項目，Node.js沒有獨立預算維持賞金池，外部資金來源一斷，賞金就直接歸零。
事實上，在HackerOne正式暫停之前，Node.js已經被逼得調整過一輪了。安全公司Socket指出，Node.js此前已大幅提高提交門檻，但根本擋不住AI工具洪水式的沖擊——每收到一份報告，志願維護者都得花大量精力核實，結果十份裡有九份是AI編的。
而且Node.js不是第一個倒下的。
今年1月，cURL創始人Daniel Stenberg就宣布終止漏洞賞金計劃，原因一模一樣：團隊一周內16小時收到7份AI生成的“偽漏洞報告”，表面語言嚴謹、結構完整，看起來像模像樣，但經人工驗證後全是廢料。他把這類內容叫做“AI Slop”——看似合理實則無效的冗餘垃圾。
這件事的荒謬之處在於：漏洞賞金機制本意是用真金白銀激勵高質量的安全研究，結果AI把“提交報告”的門檻降到了零——用AI跑一遍代碼庫，自動生成幾十份看起來那麼回事的報告，閉著眼睛提交，萬一有一份蒙對了就賺到了。維護者被淹死在垃圾報告裡，真正的漏洞反而沒時間審。$ETH
{spot}(ETHUSDT)