在准备2026年4月28日在foss-north大会上的演讲幻灯片时,我想借此机会在我的博客上分享一下当前的现状。我称之为“高质量混乱时代”。
不再有人工智能垃圾
我曾多次抱怨 curl 漏洞赏金计划中垃圾提交的频繁出现,尤其是在 2025 年和 2026 年初,这种情况愈演愈烈。以至于我们在今年 2 月 1 日彻底关闭了该计划。当时我们还在猜测,这样做是否足够,还是垃圾提交会继续泛滥。
现在我们知道了。
产量更高,质量更好
2026 年 3 月,curl 项目又回到了 Hackerone,因为我们发现 GitHub 还不够好。
从那天起,安全报告提交的性质发生了变化。
污水处理问题已经不再存在了。
报告频率比以往任何时候都高。最近的报告频率大约是2025年之前预期频率的两倍,而2025年之前的预期频率本身就已经比往年高出一倍多。
质量更高了。已确认的漏洞率已经恢复到甚至超过了2024年人工智能出现之前的水平,这意味着漏洞率在15%到16%之间。
除此之外,指出存在漏洞(即并非安全漏洞,而是某种问题)的报告比例也明显高于以前。
现在一切都与人工智能有关
几乎所有安全报告现在都不同程度地运用了人工智能。这一点可以从它们的措辞、报告的表达方式以及它们现在能够轻松生成非常详细的副本这一事实中看出,而这些副本如果由人类撰写是无法实现的。
但与以前相比,现在的不同之处在于,它们的质量大多非常高。
记者们很少提及他们具体使用了哪种人工智能工具或模型(实际上,我们也不在乎),但有充分的证据表明他们使用了这类工具或模型。
我们并非独一无二。
我在 Mastodon 上做了一个简短的非正式调查,看看其他开源项目是否也出现了同样的趋势,结果发现确实如此!以下项目的几位朋友也证实了这一点。当然,具体数字和规模有所不同,但这表明这种现象并非某个特定项目独有。
Apache httpd、BIND、curl、Django、Elasticsearch Python 客户端、Firefox、git、glibc、GnuTLS、GStreamer、Haproxy、Immich、libssh、libtiff、Linux 内核、OpenLDAP、PowerDNS、Python、Prometheus、Ruby、Sequoia PGP、strongSwan、Temporal、Unbound、urllib3、Vikunja、Wireshark、wolfSSL 等
我敢肯定,这份项目清单只是碰巧看到我的问题而随机挑选出来的。你会发现还有更多项目也经历并证实了这种现实情况。
爆炸
我们将在下周中(2026 年 4 月底)发布 curl 8.20.0 版本,预计届时将公布至少六个新的漏洞。假设这一趋势至少在今年剩余时间内持续下去(我认为这是一个合理的假设),那么 curl 项目今年发布的 CVE 数量预计将出现爆炸式增长,并创下历史新高。
到 2026 年,我们可能会公布近 50 个 curl 漏洞。
鉴于这种普遍趋势,我不明白为什么这种模式不会在其他许多项目中被发现和预期。
这何时才能结束?
工具仍在不断改进。我们在修复漏洞和添加新功能的同时,也会不断引入新的缺陷。
有人认为它可能像模糊测试一样,几年后就会达到瓶颈期。我想我们只能拭目以待了。
这次雪崩式增长将使维护人员的工作量雪上加霜。如果没有额外的维护人员帮忙,一些项目将很难应对这种积压工作的激增。
对于那些可以利用同样的工具轻松发现这么多问题的坏人来说,这可能是一个好时机,因为所有项目都没有时间、人力和精力去修复这些问题。
然后所有人都需要更新到已发布的版本,我们知道这可能需要更长的时间。
我们即将面临一段坎坷的旅程。
原文: https://daniel.haxx.se/blog/2026/04/22/high-quality-chaos/