因大量AI生成的低质量或虚假漏洞报告涌入,开源项目Node.js宣布暂停通过HackerOne平台发放漏洞赏金。HackerOne称,用户利用AI工具批量扫描提交报告,导致漏洞发现速度远超修复速度,且误报率显著上升,严重消耗社区审核资源。由该平台运营的“互联网漏洞赏金计划”(IBB)已停止接收新报告,直接切断Node.js赏金资金来源。作为志愿者驱动的项目,Node.js缺乏独立预算,尽管此前提高提交门槛仍难抵御自动化提交。官方强调赏金暂停但漏洞提交流程、响应速度和补丁发布机制保持不变。今年1月,cURL亦因AI报告泛滥终止赏金计划,显示生成式AI正冲击传统开源安全激励模式。
