AI 生成的虚假漏洞报告泛滥，Node.js 暂停提供安全赏金

4 月 13 日消息，漏洞赏金平台 HackerOne 宣布，由于近年来有大量用户利用 AI 扫描提交漏洞报告，导致开源生态平衡遭打破，发现漏洞的速度赶不上修复漏洞的速度，同时也存在大量虚假漏洞报告，因此即日起平台“互联网漏洞赏金计划”（IBB）将停止接收新的漏洞提交报告，而这一变化也迅速波及多个开源项目。

Node.js 官方随后发布公告称，由于 HackerOne 相应赏金计划暂停运作，其漏洞奖励的资金来源被切断。作为一个以社区志愿者为主导的开源项目，Node.js 并没有独立预算来持续支付漏洞赏金，因此在缺乏外部资金支持的情况下，将暂停向漏洞报告者发放奖励。

不过 Node.js 强调，安全漏洞的提交流程并未发生变化，研究人员仍可通过 HackerOne 平台提交问题。项目团队仍会以同等优先级处理漏洞，相关披露政策、响应时间以及补丁发布流程均保持不变。

公开信息显示，HackerOne 的“互联网漏洞赏金计划”由多家软件公司共同出资，自 2012 年正式启动，主要为漏洞发现者提供一系列现金奖励，累计发放金额已超过 150 万美元（注：现汇率约合 1025.7 万元人民币）。

针对 Node.js 这一变化，安全公司 Socket 指出，在 HackerOne“互联网漏洞赏金计划”接停止接收新的漏洞提交报告之前，Node.js 实际上已经开始调整其漏洞赏金机制，大幅提高提交门槛，这主要是因为奖励机制吸引了大量低质量 AI 虚假漏洞报告，然而每逢遇到漏洞报告，开发者需要投入大量精力进行核实，给志愿维护者带来极大负担。

值得注意的是，Node.js 并非唯一受到 AI “刷漏洞”影响的项目。例如今年 1 月，cURL 也宣布终止其漏洞赏金计划，原因同样是遭到 AI 生成的低质量漏洞报告轰炸。