cURL的Daniel Stenberg:AI垃圾信息正在对开源造成DDoS攻击
内容提要
在2026年FOSDEM大会上,cURL创始人Stenberg指出,AI既能产生虚假安全报告,也能发现深层漏洞。他暂停了cURL的漏洞奖励计划,以应对AI生成的低质量报告。他认为AI是工具,可以在经验丰富的工程师手中提升开源安全,但对其生成生产代码持怀疑态度,最终维护者需决定如何利用AI。
关键要点
-
在2026年FOSDEM大会上,cURL创始人Stenberg指出AI既能产生虚假安全报告,也能发现深层漏洞。
-
Stenberg暂停了cURL的漏洞奖励计划,以应对AI生成的低质量报告。
-
他认为AI是工具,可以在经验丰富的工程师手中提升开源安全,但对其生成生产代码持怀疑态度。
-
cURL的漏洞奖励计划导致了大量虚假报告,只有约六分之一的报告是真实的。
-
关闭漏洞奖励计划旨在消除金钱激励,减少低质量报告的数量。
-
Stenberg强调AI工具在经验丰富的工程师手中能够发现许多以前未被发现的漏洞。
-
他使用AI审查机器人来帮助检查代码,但对AI生成的生产代码持怀疑态度。
-
Stenberg指出,AI生成的贡献并未根本改变cURL的风险模型。
-
他提到其他开源项目也面临AI生成的垃圾报告和真实漏洞的挑战。
-
Stenberg呼吁项目应对垃圾报告和AI抓取者进行实验性防御,强调人类选择的重要性。
延伸问答
Daniel Stenberg在FOSDEM大会上对AI的看法是什么?
Stenberg认为AI既能产生虚假安全报告,也能发现深层漏洞,强调AI是工具,能在经验丰富的工程师手中提升开源安全。
为什么cURL暂停了漏洞奖励计划?
cURL暂停漏洞奖励计划是因为AI生成的低质量报告使得安全团队不堪重负,导致大量虚假报告。
AI生成的安全报告对开源项目有什么风险?
AI生成的安全报告可能导致真实漏洞被忽视,从而危及软件供应链的安全。
Stenberg如何看待AI在代码审查中的应用?
Stenberg使用AI审查机器人来帮助检查代码,但对AI生成的生产代码持怀疑态度,认为其建议不够可靠。
cURL的漏洞报告中真实报告的比例是多少?
在2025年之前,cURL的真实安全报告比例约为六分之一,之后降至一二十或三十个报告中才有一个真实。
Stenberg对AI生成的代码有什么看法?
Stenberg对AI生成的代码持怀疑态度,认为这些代码的建议不够好,不应盲目接受。
