打开网易新闻 查看精彩图片

我们每天刷手机、开车、看视频、打游戏,感觉世界顺滑得像空气——点一下就下载,划一下就刷新。可你可能从没想过:这些“顺滑”,往往建立在一堆看不见的开源基础设施上。

其中一个最典型的,就是 curl / libcurl:一个负责“把数据从互联网搬来搬去”的工具和库。它安静到几乎没人提起,却被用在汽车、电视、路由器、手机、医疗设备、游戏机、无数软件里。curl 官方甚至直接写明:它是“互联网传输引擎”,安装量超过 200 亿,几乎每个上网的人每天都会间接使用它。

然后,最荒诞的部分来了:这样一个“全球级基础设施”,长期以来最核心的维护压力,集中在一个人身上——Daniel Stenberg。他从 1996 年接手维护一个小工具,1998 年把它发展为 curl,一直坚持到今天。

你以为最危险的是漏洞?不,最危险的是“只有一个人懂”

文章里提到一个词:bus factor(巴士系数)——如果某个关键人物突然离开(不一定真的被巴士撞到,可能是健康、生活、转行、情绪崩溃),项目就会停摆的风险。curl 被点名“bus factor 接近 1”。

这不是危言耸听。基础设施软件往往靠“长期积累的隐性知识”在稳定运行:几十种协议、上百个选项、几千个边缘 case、二三十年累积的取舍。你很难用“招一个人”去替代,因为那不是岗位空缺,那是时间欠账。

更扎心:47 家车企在用,几乎没人为它买单

文章里给了一个刺眼的对比:47 个汽车品牌把 curl 装进车里,但几乎没有企业为核心维护者提供“匹配其价值的支持”。

这就是开源世界最真实的结构性矛盾:

  • 企业把开源当“公共空气”:免费、稳定、理所当然
  • 维护者把开源当“终身责任”:修 bug、扛安全、写文档、发版本、回答质疑
  • 直到某次事故(像 Heartbleed)把所有人吓醒,才临时撒钱、开会、写报告,然后……又回到“继续白嫖”的惯性里

打开网易新闻 查看精彩图片

AI 的“新型攻击”:不是黑客入侵,而是垃圾信息把你淹死

如果说“缺钱”是长期慢性病,那 AI 带来的,是一种更阴险的急性症状:AI 生成的虚假漏洞报告

维护者必须严肃对待每一份安全报告,因为任何一次疏忽都可能影响亿级设备。于是,攻击者只要用大模型“编”出看起来专业的漏洞描述、请求 CVE、附上一堆术语,就能逼你花时间去验证、复现、反驳、关闭。文章把它称为对维护者的“DDoS”。

The Register 报道过:Daniel 为了筛掉低质量报告,甚至要求提交者勾选“是否使用 AI”,并对“AI slop”进行封禁处理;他直言这种情况“像是被 DDoS”。

更严重的是:这种“AI 垃圾报告”还和 **bug bounty(金钱激励)**结合在一起,形成了“低成本碰瓷”的灰产——不用真正研究安全,只要生成一份像样的文案,就想换赏金。Daniel 在 2025 年就公开写过:AI slop 让安全团队精疲力尽,真正有效漏洞比例下降,时间被大量浪费。

最终,curl 甚至决定结束 bug bounty 项目。LWN 报道中引用 Daniel 的话,强调“没完没了的 slop 对精神造成巨大消耗”,项目将于 2026-01-31 正式结束赏金计划。

这件事真正想警醒我们的,不只是“同情维护者”

我更愿意把它当成一面镜子,照见我们这个时代的三个真相:

1)世界靠“隐形劳动”在运转

你看到的是 APP、产品、商业模式;你看不到的是无数基础库、协议实现、测试体系、发布流程。它们不性感,但它们决定了“世界能不能用”。

2)AI 会放大“伪努力”,压垮“真责任”

AI 能把低质量内容包装得很像样:漏洞报告、PR、长文、方案、代码——看起来都很“专业”。而验证它、拆穿它、把它变成可靠结果的人,成本反而更高。

3)真正的安全,不只是代码安全,更是“可持续”

一个依赖链上最关键的组件,如果长期靠 1 个人硬扛,那它本身就是供应链风险。

我们能做什么?给个人、团队、公司各一份“可落地清单” 对个人:别用 AI 伪装能力,去训练“可验证的硬功夫”

  • 写得出复现步骤、抓得住最小样例、定位得到根因,才叫技术
  • 别拿 AI 生成“看起来正确”的东西去骚扰别人(尤其是安全报告)
  • 你要的不是“显得很懂”,而是“真的能交付”——这在今天反而更稀缺、更值钱
对团队:把开源当“生产资料”,别当“免费外包”
  • 建 SBOM(依赖清单),标注关键依赖的维护者数量、更新频率、bus factor 风险
  • 关键依赖至少安排“上游责任人”:定期跟进安全、版本、社区动态
  • 贡献不一定是大代码:文档、测试、复现、回归、CI 维护,都是真贡献
对公司:预算里必须有“开源维护费”

开源不是成本为 0,它只是把成本从“采购合同”转移到了“别人的人生”。
更现实的做法是:长期赞助 / 维护合同 / 雇佣核心维护者。文章也明确呼吁:既然大量企业依赖 curl,就应该用持续的方式支持它,而不是偶尔捐一点、发一张奖状。

打开网易新闻 查看精彩图片

最后想说:经济越难,越要向“真正创造价值的人”学习

我们这个时代最稀缺的东西,从来不是“信息”,而是:

  • 可靠的产品
  • 可信的交付
  • 可持续的系统
  • 以及愿意把责任扛到底的人

Daniel 这样的人,不是在写一段代码,而是在维护“现代生活的稳定性”。而 AI 带来的噪声洪水,正在消耗这些人的心力。

所以,这篇故事给我的最大警醒是:

别做噪声,去做基础。
别追捷径,去练真功。
别只消费世界,试着让世界更稳一点。

技术之外,也有生活

这里偶尔分享:

  • 工作思考 & 创业感悟
  • 生活方式 / 兴趣爱好
  • 普通人如何和技术一起成长
  • 时事政策的理解与跟进
  • 在无人处自律,在不完美里安住 慎独与侘寂,都是生活的修行

如果你也在努力生活欢迎关注一起慢慢走。