开源安全圈的麻烦变了。Daniel Stenberg——那个写了cURL、每天被全球数十亿设备调用的程序员——说现在的AI不再是"垃圾海啸",而是变成了"正经安全报告海啸"。

听起来像好事?他快被淹死了。Stenberg现在每天要花数小时处理这些报告,强度直接拉满。问题出在数量:AI生成的漏洞报告质量确实上去了,很多"真的不错",但批量涌来的节奏让维护者根本消化不了。

这像什么?就像你开了家小餐馆,突然来了几百个"专业美食评论家",每人递上一份写得有模有样的品鉴报告。你没法直接扔垃圾桶,得一份份看完——因为里面确实可能藏着真问题。

Stenberg的吐槽被Simon Willison收录时,cURL项目已经跑了28年。这个用C写的命令行工具,支撑着从智能家居到航天器的无数系统。它的维护团队极小,核心就几个人,现在却被AI的"勤奋"逼成了全天候审稿机器。

其他开源项目也在经历类似困境。Linux内核、Python解释器——这些基础设施的守门人们发现,AI降低了"提交看起来像回事的issue"的门槛,却没降低"验证它是否真有价值"的成本。换句话说,过滤器的负担从"识别垃圾"转向了"在大量合格品里找金子"。

Stenberg没说要怎么解决。但他那句「It's intense」的抱怨,已经让不少维护者在评论区排队+1。