cURL是网络传输领域最基础的开源软件,支持 HTTP、HTTPS、FTP、FTPS、Gopher、IMAP、Kerberos、LDAP、MQTT、POP3、RTSP、SCP、SMTP、SMB 等几乎所有传输协议。
它被预装在 Linux、Windows、iOS、Android、macOS 等操作系统中,也运行在智能家居设备、医疗设备、打印机、智能手表和汽车里。
创始人 Daniel Stenberg (丹尼尔) 估计,cURL 及 libcurl 的全球安装量已超过 300 亿台设备。
但就是这样一个运行了近 30 年的项目,正在被 AI 漏洞审计带来的工作量压垮。😂
# Bug 海啸
2026 年以来,AI 辅助漏洞审计的能力大幅提升。
cURL 团队收到的漏洞报告速度是 2024 年的 4–5 倍、2025 年的 2 倍,平均每天超过 1 份。
这些报告质量很高,不再是过去那种 AI 生成的垃圾内容。每份报告细节丰富、篇幅很长,把 cURL 多年积累的老代码翻了个遍,挖出大量陈年 bug。创始人丹尼尔说,这是 cURL 项目近 30 年来压力最大的时期!~
为何?最主要的问题在于人手不够。
cURL 虽然装在几百亿台设备上,核心维护团队却很小,基本靠丹尼尔一个人撑着。
他从 2019 年开始全职维护,原计划每周工作 50 小时,但现在每天晚上和周末都在加班,全年无休。他的妻子和朋友都对他的健康表示强烈担忧,但他停不下来——cURL 一旦出问题,影响范围太大了。
好消息是 cURL 的底层架构经过多年测试足够坚固。AI 发现的漏洞绝大多数属于低风险或中风险,还没出现高危漏洞。
丹尼尔自嘲地说,他有点羡慕那些出过大事故的开源项目(比如 Log4j)——出事之后反而拿到大公司的资助,能雇全职团队。cURL 因为代码质量一直很好,反而没什么商业回报。
# 整个行业都在面临同样的问题
丹尼尔的处境不是个例。
2026 年 4 月,Anthropic 发布了 Mythos 模型,这个模型在漏洞挖掘上能力极强。六周内,它在全球最重要的系统软件里挖出 2 万多个漏洞,其中四分之一属于高危或严重级别:
- OpenBSD(以安全性著称的操作系统)——存在 27 年的漏洞
- FFmpeg(视频编码解码的事实标准)——存在 16 年的漏洞
- Linux 内核——多个漏洞组合后可实现从普通用户到完全控制的权限提升
Anthropic 没有公开发布 Mythos,而是启动了 Project Glasswing 安全联盟,仅限少数大公司和关键项目使用。
即便如此,它的漏洞产出速度已经远超维护者的修复能力。多位开源维护者请求放慢披露速度,因为根本没人手去修。
过去只有顶级黑客才能对大型基础设施发动深度攻击,现在普通人把代码丢给 AI 就能做到,顶级安全研究员的能力正在被AI普及到所有人。
# 怎么办
唯一的出路可能是让 AI 来辅助修漏洞。写代码、审计代码、挖漏洞、修漏洞、验证修复,这些环节早晚都会交由 AI 完成。
人类最终退到系统之外,成为规则的制定者和最终监督者!