对很多普通人来说,cURL是一个陌生的名字,但它却是世界上最流行的软件。
这个开源软件是网络传输领域的老大,支持几乎所有传输协议(HTTP、HTTPS、 FTP、 FTPS、 Gopher 、IMAP、 Kerberos、 LDAP、 MQTT、 POP3、 RTSP、 SCP、 SMTP、 SMB......)。
只要有网络连接的地方,基本上就有cURL的存在。
它被广泛地安装在Linux、Windows、iOS、Android、MacOS 等主流操作系统中。
被安装在几乎所有物联网设备如智能厨房和医疗设备、打印机、智能手表、智能汽车中。
它的创始人兼首席开发者丹尼尔·斯坦伯格(Daniel Stenberg)估计,cURL以及liburl被安装于全球超过300亿台设备中!
然而,就是这样一艘航行了近30年的开源巨轮,现在却在被AI带来的海啸逼向崩溃的边缘。
0 1
Bug海啸
今年以来,AI 辅助漏洞审计的能力突然上了一个大台阶,cURL团队收到的漏洞报告速度,已经是 2024 年的 4–5 倍,2025 年的 2 倍,平均每天超过 1 份。
更吓人的是,这次不再是过去那种 AI 生成的“垃圾报告”了。
这些高级 AI 产出的报告质量远超以往、细节极其丰富、篇幅极长。
AI 就像一台超高分辨率的显微镜,疯狂啃食 cURL 这些年积攒下来的老代码,把藏在最深处的陈年 bug 一个个揪出来。
丹尼尔甚至坦言,这是 cURL项目近30年来从未经历过的压力。
面对铺天盖地的报告,开源社区的致命短板暴露无遗:人和钱都不够。
cURL虽然跑在全球几百亿台设备上,核心维护团队却小得可怜,很大程度上就靠丹尼尔一个人用爱发电。
他从 2019 年开始全职做 cURL,本来计划一周干 50 个小时,但后来每天晚上还得再加几小时,一周七天,生活和项目已经完全分不开了。
现在他为了应对这波 AI Bug报告狂潮,长期处于连轴转的状态。
深夜和周末都在疯狂审查代码、修复漏洞,超负荷地工作。
他的家庭也出现了危机,他妻子生平第一次对他的健康和生活失衡表示强烈担忧,身边朋友也警告他:你快要“燃尽”(Burnout)了。
但是丹尼尔无法放手,因为cURL的影响范围实在太大了!
任何一个漏洞,都可能波及全球无数服务器、操作系统和联网设备,丹尼尔和他的团队必须理智地和每个AI报告死磕。
唯一还算幸运的是:经过这么多年严苛测试,cURL 的底层架构够坚固。
AI 虽然揪出不少漏洞,但绝大多数被评为 “低”或“中”风险,还没出现那种要命的“高危”漏洞。
丹尼尔略带自嘲地写道,他甚至有点妒忌那些曾经捅出天大篓子的开源项目(说的就是你,Log4j),这些项目引发全球灾难后,反而引起了企业的巨大关注和资金资助,从而有钱雇佣更多的全职程序员。
而cURL应为多年来代码质量极好,反而一直缺乏商业公司的财务回馈。
真是一个讽刺的开源悖论。
0 2
开源社区的焦虑
丹尼尔遇到的压力,其实是整个开源社区的缩影。
4 月份 Anthropic发布了Mythos模型,这个家伙在漏洞挖掘上的能力强得离谱。
短短六周内,它就在全球最重要的系统软件里挖出了 2 万多个漏洞,其中四分之一是高危或严重级别,几个经典的案例是:
(1) OpenBSD 存在27 年的漏洞
OpenBSD 被誉为世界上安全性最高的操作系统之一,常用于运行防火墙和其他关键基础设施。
(2) FFmpeg存16 年的漏洞
FFmpeg可是视频领域的绝对王者,无数软件都用它来编码和解码视频。
(3) Linux内核漏洞
将Linux 内核中的几个漏洞串联起来,使攻击者从普通权限提升到对机器的完全控制。
由于Mythos模型太强,具有极强的“双重用途风险”(既可用于防御,也可能被用于攻击),Anthropic 并未向公众开放,而是启动了名为 Project Glasswing 的限制性安全联盟,仅向少数大型科技公司、基础设施组织以及部分关键开源项目提供访问权限。
即使如此,它发现的漏洞数量已经让很多开源维护者受不了,这些人纷纷要求:能不能放慢一点披露速度?我们真没人手、没时间修啊。
原来只有极少数顶尖黑客,才有能力对大型基础设施发动深度攻击。现在一个普通人,只需要把代码丢给 AI,就能发现各种漏洞,原本属于顶级安全研究员的能力,开始被大规模平民化,这是让最让人不安的地方。
程序员们制造了一件威力无比的、杀向自己的武器。
以后该怎么办呢?
我想可能只剩下一个办法了:让AI来辅助修复漏洞。
即使你再不情愿用AI,面对AI产生的Bug海啸,内心也得掂量掂量了:是放任漏洞,还是赶紧用AI修好?
我想大多数人都会选择后者。
写代码->审计代码->挖漏洞->修复漏洞->验证漏洞是否被修复。这些活儿,早晚全被 AI 干了。
而人类会退到系统之外,变成“规则制定者”和“最终裁决者”,冷眼站在一旁,监视这一切。
热门跟贴