IT 之家 4 月 24 日消息，开源网络工具 cURL 开发者 Daniel Stenberg 于 4 月 22 日发布博文，指出 AI 生成的漏洞报告已从 " 垃圾信息 " 演变为 " 高质量混乱 "。

IT 之家曾于今年 1 月报道，Stenberg 指出因 cURL 安全漏洞赏金项目（cURL Bug Bounty）持续收到大量 AI 生成的虚假漏洞报告，于 2 月 1 日终止这项赏金项目。

Stenberg 在最新博文中指出，在终止赏金项目，转回 Hackerone 平台后，安全报告提交频率不降反升，达到 2025 年的 2 倍。他用 " 高质量混乱 " 定义这一新阶段：虽然 AI 生成的报告质量大幅提升，但提交频率的激增正将开源维护者推向超负荷边缘。

Stenberg 表示在 2020 至 2024 年间，平均每 100 小时才有一次漏洞提交。2025 年这一间隔缩短至 50 小时以内。进入 2026 年，提交间隔已跌破 25 小时。这意味着维护者几乎每天都要处理新的报告，工作量呈指数级增长。

尽管数量激增，报告的有效性却未降反升。2025 年初，被确认为真实安全问题的比例曾从 13% 跌至 5%。然而近期该数据强劲反弹，目前已接近 16%，甚至超过了 2024 年的水平。这表明 AI 工具在漏洞挖掘领域的准确度正在显著优化，不再单纯制造垃圾信息。

Stenberg 认为 AI 工具已成为安全报告的标准配置，虽然报告者鲜少提及具体工具，但从措辞和重复度可明确辨识 AI 痕迹。与 2025 年初的低质 "AI 垃圾 " 不同，现在的 AI 辅助报告质量极高。

更严峻的风险在于攻防时间差。Stenberg 警告称，恶意攻击者同样可以使用这些 AI 工具快速发现漏洞。在维护者修复问题之前，攻击者可能已经利用漏洞发起攻击。