2026年4月,知名开源JavaScript运行环境项目Node.js因AI生成的虚假漏洞报告泛滥,正式宣布暂停通过漏洞赏金平台HackerOne向漏洞提交者发放安全赏金。HackerOne称AI批量生成报告导致提交量远超开发者修复能力,报告质量低下误报率高,目前其互联网漏洞赏金计划已停止接收新报告,安全厂商Socket指出该问题已严重消耗开源社区维护资源。
作为全球下载量超百亿次的主流开源项目,Node.js的维护完全依赖社区志愿者,既没有专属的安全审核团队,也没有独立的赏金预算,过往的漏洞奖励全部来自HackerOne的互联网漏洞赏金计划覆盖。AI生成工具的普及大幅降低了漏洞投稿的门槛,大量用户开始利用AI批量扫描生成报告,投递到平台碰运气争取赏金。
超过九成的AI生成投稿都是误报或完全伪造的无效内容,原本Node.js维护团队每天仅需处理十余份可疑报告,现在日均审核量翻了数倍,大量志愿维护者的时间被消耗在核实无效内容上,已经严重拖慢了真实高危漏洞的修复进度。
登录后解锁全文,体验收藏、点赞、评论等完整功能
立即登录