核心事件:悬赏暂停,但安全没停
Node.js 官方团队昨天宣布了一个挺让人意外的决定:即日起,他们在 HackerOne 上的漏洞悬赏奖金(Bounty)彻底停发。
原因很扎心。现在,大量用户利用 AI 工具批量扫描、批量提交报告。这不仅仅是“人多”,而是把开源社区给“炸”懵了。
为什么 AI 会让社区这么难搞?
说实话,这种“虚假繁荣”对开发者来说挺折磨的:
- 修不完的问题:AI 生成的报告速度太快了,经常一天能塞进来几百个“疑似漏洞”。开发者们根本忙不过来,原本社区那种“发现一个修一个”的节奏全被打乱了。
- 全是垃圾报告:很多报告连基本的复现步骤都没有,或者是 AI 瞎编的“误报”。安全公司 Socket 也吐槽过,志愿者们花大量时间去审核这些垃圾,纯粹是浪费生命。
- 没钱也没人:Node.js 是靠社区志愿者维系的,项目本身没有独立的巨额预算来支付这些源源不断的悬赏金。结果就是,志愿者累垮了,奖金池空了。
他们做了什么?只断“钱”,不断“责”
面对这种局面,Node.js 团队没有选择完全关闭报告通道,而是搞了个“釜底抽薪”的招数:
- 切断真金白银:他们通过 HackerOne 的 "Internet Bug Bounty Program" 项目,直接停止接受新的悬赏报告。这意味着,再也没人能从 HackerOne 拿到 Node.js 的奖金了。
- 安全大门依然敞开:
- 还能报:研究人员依然可以通过 HackerOne 提交漏洞报告,只是拿不到钱了。
- 依然会修:团队承诺,只要报告质量达标,依然会像以前一样快速响应和打补丁。
- 门槛更高了:其实他们之前已经提高了报告门槛来挡 AI,但发现挡不住,索性直接撤掉奖金这个“诱饵”,效果立竿见影。
这不是 Node.js 一家的问题
今年 1 月,另一个大名鼎鼎的工具 cURL 也因为被 AI 报告“轰炸”而被迫终止了悬赏计划。
看着这些新闻,我其实挺复杂的。一方面,生成式 AI 确实让安全测试变得前所未有的“廉价”和“自动化”,这对传统依赖人类专家的开源模式冲击很大;另一方面,这也暴露了我们在筛选机制上的巨大短板——当海量自动化生成的“噪音”淹没了真正的专业反馈时,我们该用什么标准去衡量价值?
现在的开源社区,似乎正站在一个尴尬的十字路口:旧的基于奖金的激励体系失效了,而新的、能自动识别高质量 AI 报告的评估机制,目前还看不到清晰的轮廓。
(注:本文信息基于 Node.js 官方及 HackerOne 近期公告整理,具体执行细节以官方最终通知为准。)
