由于 AI 生成的虚假漏洞报告泛滥，知名开源项目 Node.js 官方宣布，将暂停通过 HackerOne 平台向漏洞报告者发放现金奖励。

漏洞赏金平台 HackerOne 表示，近年来大量用户利用 AI 工具大规模扫描并提交漏洞报告。这种行为导致开源社区的平衡被打破:发现漏洞（或疑似漏洞）的速度已远超开发者修复的速度。更严重的是，其中充斥着大量低质量、误报甚至伪造的报告。

为此，HackerOne 的“互联网漏洞赏金计划”（IBB）已停止接收新报告，这也直接切断了 Node.js 奖励金的外部来源。

作为一个由社区志愿者主导的项目，Node.js 并没有独立预算来支付赏金。安全公司 Socket 指出，Node.js 实际上早已在调整机制:

审核负担: 每份报告都需要开发者投入大量精力核实，而 AI 生成的低质量内容极大地浪费了志愿维护者的时间。

门槛提高: 为了抵御 AI 轰炸，项目组此前已大幅提高提交门槛，但仍难以抵挡自动化工具的冲击。

流程不变，仅停发奖金

Node.js 强调，虽然奖金暂停，但安全保障并未“打折”:

提交流程: 研究人员仍可通过 HackerOne 提交漏洞。

处理优先级: 团队将维持原有的响应速度和补丁发布流程，确保项目安全性。

Node.js 并非孤例。今年1月，知名网络工具 cURL 也因遭到 AI 生成的报告“狂轰乱炸”而被迫终止了赏金计划。这反映出在生成式 AI 普及后，传统的开源激励机制正面临系统性挑战:如何筛选出真正有价值的专业反馈，已成为开源社区急需解决的难题。