AI开始“薅羊毛”了：Node.js被虚假漏洞报告逼到暂停赏金

AI能写代码、能审代码，现在它还能刷漏洞报告了。
4月13日，HackerOne正式暂停了运行14年的“互联网漏洞赏金计划”（IBB），不再接收新的漏洞提交。表面原因是平台战略调整，实际原因只有一个：AI生成的虚假漏洞报告把维护者淹死了。
HackerOne原话是：AI工具让漏洞发现速度远超修复速度，平台充斥着大量低质量、误报甚至伪造的报告，开源社区的平衡被彻底打破。
而首当其冲的，就是Node.js。
Node.js官方随后公告：由于HackerOne赏金计划暂停运作，项目将停止向漏洞报告者发放奖励。作为一个纯社区志愿者驱动的开源项目，Node.js没有独立预算维持赏金池，外部资金来源一断，赏金就直接归零。
事实上，在HackerOne正式暂停之前，Node.js已经被逼得调整过一轮了。安全公司Socket指出，Node.js此前已大幅提高提交门槛，但根本挡不住AI工具洪水式的冲击——每收到一份报告，志愿维护者都得花大量精力核实，结果十份里有九份是AI编的。
而且Node.js不是第一个倒下的。
今年1月，cURL创始人Daniel Stenberg就宣布终止漏洞赏金计划，原因一模一样：团队一周内16小时收到7份AI生成的“伪漏洞报告”，表面语言严谨、结构完整，看起来像模像样，但经人工验证后全是废料。他把这类内容叫做“AI Slop”——看似合理实则无效的冗余垃圾。
这件事的荒诞之处在于：漏洞赏金机制本意是用真金白银激励高质量的安全研究，结果AI把“提交报告”的门槛降到了零——用AI跑一遍代码库，自动生成几十份看起来像那么回事的报告，闭着眼睛提交，万一有一份蒙对了就赚到了。维护者被淹死在垃圾报告里，真正的漏洞反而没时间审。$ETH
{spot}(ETHUSDT)