AI代理工具正批量向开源项目维护者提交安全漏洞报告,给维护者带来的审核压力持续上升。
Axios近日报道称,这类报告大多缺乏明确依据,面对维护者的进一步询问时往往无法作答,导致甄别和核实成本明显增加。
随着开源AI代理工具OpenClo出现,这一问题进一步加剧。该工具可以自动分析开源代码,并自动向维护者提交漏洞报告。
Open Source Security Foundation首席技术官(CTO)Christopher Robinson表示,越来越多的报告提交者无法回答维护者的追问,这表明要么是AI在发现问题,要么是AI代理已经把整个提交流程自动化了。
据Axios报道,过去,知名开源项目平均每周收到2至3份漏洞报告,知名度较低的项目大约每月收到1份。如今情况已明显不同,一些项目一次性就会收到数百份报告。
Christopher Robinson称,维护者通常需要花费2至8小时审查一份报告,而这类投入往往得不到任何补偿。
随着问题愈发严重,部分维护者已直接关闭漏洞悬赏计划,也有人开始屏蔽提交AI生成低质量报告的用户。
知名开源项目curl维护者Daniel Stenberg在长期承受AI批量报告压力后,已经终止漏洞悬赏计划。他表示,2025年收到的报告中,有效报告占比不足5%。
记者信息
Chi-gyu Hwang
delight@d-today.co.kr