由于 AI 生成的虛假漏洞報告泛濫，知名開源項目 Node.js 官方宣布，將暫停通過 HackerOne 平臺向漏洞報告者發放現金獎勵。

漏洞賞金平臺 HackerOne 表示，近年來大量用戶利用 AI 工具大規模掃描并提交漏洞報告。這種行為導致開源社區的平衡被打破:發現漏洞（或疑似漏洞）的速度已遠超開發者修復的速度。更嚴重的是，其中充斥著大量低質量、誤報甚至偽造的報告。

作為一個由社區志愿者主導的項目，Node.js 并沒有獨立預算來支付賞金。安全公司 Socket 指出，Node.js 實際上早已在調整機制:

審核負擔: 每份報告都需要開發者投入大量精力核實，而 AI 生成的低質量內容極大地浪費了志愿維護者的時間。

門檻提高: 為了抵御 AI 轟炸，項目組此前已大幅提高提交門檻，但仍難以抵擋自動化工具的沖擊。

流程不變，僅停發獎金

Node.js 強調，雖然獎金暫停，但安全保障并未“打折”:

提交流程: 研究人員仍可通過 HackerOne 提交漏洞。

處理優先級: 團隊將維持原有的響應速度和補丁發布流程，確保項目安全性。

Node.js 并非孤例。今年1月，知名網絡工具 cURL 也因遭到 AI 生成的報告“狂轟亂炸”而被迫終止了賞金計劃。這反映出在生成式 AI 普及后，傳統的開源激勵機制正面臨系統性挑戰:如何篩選出真正有價值的專業反饋，已成為開源社區急需解決的難題。