開發者濫用 AI 產生漏洞回報，開源專案管理者負擔大增

AI 功能越來越豐富，不少開發者都會用 AI 輔助寫程式，遇到問題也能問 AI 糾錯，但卻讓開源專案管理更繁瑣，影響效率。

Python 基金會資安工程師 Seth Larson 最近呼籲，開發者不該濫用 AI 工具報告漏洞。近期開源專案收到大量低品質漏洞報告，更有一些是「AI 幻覺」，根本沒問題。這些看起來合理的報告都需他們花更多時間查證，嚴重影響工作效率。

開源專案 Curl 維護者 Daniel Stenberg 也表示，這類 AI 製造的垃圾報告經常出現，不僅增加維護者負擔，更浪費寶貴時間與 AI 對話。他堅決表示將迅速採取行動，遏止此狀況。

Larson 表示，雖然每月收到低品質 AI 漏洞報告不到十件，但已算警訊。他擔心如果維護者無法及早辨識，就會浪費大量時間處理假資訊，導致開源專案管理者耗盡精神，甚至放棄專案。他強調，開源社群需要本質改變，不能再依賴少數義工做所有工作。

Larson 呼籲，提交漏洞報告前必須經過其他人驗證，避免使用無法真正理解程式碼的 AI 工具，他希望漏洞報告平台採取措施，限制自動化或粗製濫造資安報告，讓開源社群能健康發展。

• Open source maintainers are drowning in junk bug reports written by AI

（本文由 Unwire Pro 授權轉載；首圖來源：Unsplash）