AI辅助安全报告压垮curl维护者

关键信息

Stenberg 说，这些报告通常非常详细且篇幅很长，而且由于它们往往可信，团队会觉得有责任去审查。他还指出，curl 仍然是一个非常稳健的代码库：近年来发现的大多数漏洞都被评为 LOW 或 MEDIUM，最近一次 HIGH 严重级别的 curl CVE 还是 2023 年 10 月发布的。

资讯摘要

在一篇标注为 2026 年 5 月 26 日的链接博文中，Simon Willison 转述了 Daniel Stenberg 对 curl 安全团队当前压力的描述。Stenberg 说，curl 正在接收大量可信的 AI 辅助安全问题报告，而且这个数量已经达到 curl 历史上前所未见的水平。他表示，进入安全队列的报告数量现在是 2024 年的 4 到 5 倍，也大约是 2025 年速度的两倍。平均下来，团队如今每天要处理超过一条报告。Stenberg 还指出，这些报告通常非常长，而且细节丰富，因此很难被轻易忽略。

他提到，这种压力已经影响到个人生活，因为他的妻子第一次对他的工作时长和工作与生活失衡表示担忧。他强调，项目当然可以选择忽略这些报告，但团队有责任感，也珍视自己的工作，所以仍然会认真处理。值得庆幸的是，curl 本身一直是一个非常稳固的软件，因此被发现的漏洞通常并不严重。Stenberg 说，近几年发现的 curl 漏洞几乎都被评为 LOW 或 MEDIUM，而最近一次 HIGH 严重级别的 curl CVE 还是 2023 年 10 月发布的。

资讯正文

2026年5月26日 - Link Blog

压力（via）Daniel Stenberg 谈论 curl 团队如今面临的前所未有的压力，这一切都源于大量（可信的）AI 辅助安全问题被报告出来。

进入的安全报告数量是 2024 年的 4 到 5 倍，是 2025 年的两倍——这意味着我们现在平均每天会收到超过一份报告。其质量也比以往高得多。这些报告通常非常详细，而且篇幅很长。[...] 这还是我人生中第一次，我妻子对我的工作时长以及我失衡的工作/生活状态表达了担忧。我工作的时间比以往更多，但这股洪流仍在持续。[...] 这对 curl 项目及其安全团队成员来说，是前所未见、从未经历过的压力。大量高优先级工作像雪崩一样压过项目中的一切；这主要是一种心理上的负担，因为如果我们愿意，当然可以全部忽略它们，但我们感到自己有责任，我们有良知，而且我们为自己的工作感到自豪。

进入的安全报告数量是 2024 年的 4 到 5 倍，是 2025 年的两倍——这意味着我们现在平均每天会收到超过一份报告。其质量也比以往高得多。这些报告通常非常详细，而且篇幅很长。[...]

这还是我人生中第一次，我妻子对我的工作时长以及我失衡的工作/生活状态表达了担忧。我工作的时间比以往更多，但这股洪流仍在持续。[...]

这对 curl 项目及其安全团队成员来说，是前所未见、从未经历过的压力。大量高优先级工作像雪崩一样压过项目中的一切；这主要是一种心理上的负担，因为如果我们愿意，当然可以全部忽略它们，但我们感到自己有责任，我们有良知，而且我们为自己的工作感到自豪。

好消息是，curl 是一款非常稳健的软件，因此人们发现的漏洞往往不会具有很高的严重性：

另一个好趋势是：几乎没人发现可怕的漏洞。过去几年里在 curl 中发现的所有漏洞都被认定为低或中等严重性。我并不是说以后再也不会出现高严重性漏洞，但至少它们很少见。最近一次被评为高严重性的 curl CVE 发布于 2023 年 10 月。

另一个好趋势是：几乎没人发现可怕的漏洞。过去几年里在 curl 中发现的所有漏洞都被认定为低或中等严重性。我并不是说以后再也不会出现高严重性漏洞，但至少它们很少见。最近一次被评为高严重性的 curl CVE 发布于 2023 年 10 月。

来源与参考

1. 原始链接
2. The pressure