对于多数普通用户而言,cURL这个名称或许显得十分陌生,但它却是全球范围内应用最为广泛的软件之一。
作为网络传输领域的领军者,这款开源软件几乎支持所有主流传输协议,包括HTTP、HTTPS、FTP、FTPS、Gopher、IMAP、Kerberos、LDAP、MQTT、POP3、RTSP、SCP、SMTP、SMB等。
在网络无处不在的今天,cURL的身影几乎无处不在。
它不仅被预装在Linux、Windows、iOS、Android、MacOS等主流操作系统中,
还广泛应用于各类物联网设备,如智能厨房设备、医疗设备、打印机、智能手表以及智能汽车等。
据其创始人兼首席开发者丹尼尔·斯坦伯格(Daniel Stenberg)估算,cURL及其底层库libcurl已被安装在全球超过300亿台设备上!
然而,这艘在开源海洋中航行了近30年的巨轮,如今正面临由AI引发的漏洞海啸,濒临崩溃的边缘。
01
AI引发的漏洞风暴
今年以来,AI在辅助漏洞审计方面的能力实现了质的飞跃。cURL团队收到的漏洞报告数量激增,速度已是2024年的4-5倍,2025年的2倍,平均每天超过一份。
与以往不同,这些报告不再是AI生成的“低质量垃圾”,而是质量上乘、细节丰富、篇幅冗长的深度分析。
AI如同一个超高分辨率的显微镜,深入剖析cURL多年积累的老代码,将隐藏在最深处的陈年漏洞逐一挖掘出来。
丹尼尔坦言,这是cURL项目近30年来从未遭遇过的巨大压力。
面对如潮水般的漏洞报告,开源社区的短板暴露无遗:人力和资金严重不足。
尽管cURL运行在全球数百亿台设备上,但其核心维护团队却异常精简,很大程度上依赖丹尼尔一人的无私奉献。
自2019年起,丹尼尔开始全职投入cURL项目,原本计划每周工作50小时,但后来不得不每晚加班数小时,一周七天无休,生活与项目已完全融为一体。
如今,为了应对这波AI漏洞报告狂潮,他长期处于高强度工作状态。
深夜和周末都在紧张地审查代码、修复漏洞,工作负担远超常人承受范围。
他的家庭也因此陷入危机,妻子首次对他的健康和生活失衡表示强烈担忧,朋友们也警告他:你快要“燃尽”(Burnout)了。
但丹尼尔无法放手,因为cURL的影响范围实在太广了!
任何一个漏洞,都可能波及全球无数服务器、操作系统和联网设备。因此,丹尼尔和他的团队必须理智地面对每一个AI报告,死磕到底。
幸运的是,经过多年的严苛测试,cURL的底层架构足够坚固。
尽管AI挖掘出了不少漏洞,但绝大多数被评为“低”或“中”风险,尚未出现那种致命的高危漏洞。
丹尼尔略带自嘲地表示,他甚至有点羡慕那些曾捅出大娄子的开源项目(如Log4j),这些项目在引发全球灾难后,反而获得了企业的巨大关注和资金资助,从而能够雇佣更多全职程序员。
而cURL由于多年来代码质量上乘,反而一直缺乏商业公司的财务支持。
这真是一个讽刺的开源悖论。
02
开源社区的普遍焦虑
丹尼尔所面临的压力,实际上是整个开源社区的缩影。
今年4月,徽声在线报道了Anthropic发布的Mythos模型,该模型在漏洞挖掘方面的能力令人震惊。
短短六周内,它就在全球最重要的系统软件中发现了2万多个漏洞,其中四分之一属于高危或严重级别。几个典型案例包括:
(1) OpenBSD存在27年的漏洞
OpenBSD被誉为全球安全性最高的操作系统之一,常用于运行防火墙和其他关键基础设施。
(2) FFmpeg存在16年的漏洞
FFmpeg是视频领域的绝对霸主,无数软件都依赖它进行视频编码和解码。
(3) Linux内核漏洞
通过串联Linux内核中的几个漏洞,攻击者可以从普通权限提升到对机器的完全控制。
由于Mythos模型过于强大,具有极强的“双重用途风险”(既可用于防御,也可能被用于攻击),Anthropic并未向公众开放该模型,而是启动了名为Project Glasswing的限制性安全联盟,仅向少数大型科技公司、基础设施组织以及部分关键开源项目提供访问权限。
即便如此,它发现的漏洞数量已经让许多开源维护者不堪重负,纷纷呼吁:能否放慢披露速度?我们真的没人手、没时间修复啊。
过去,只有极少数顶尖黑客才有能力对大型基础设施发动深度攻击。如今,一个普通人只需将代码交给AI,就能发现各种漏洞。原本属于顶级安全研究员的能力,开始被大规模平民化,这是最令人不安的地方。
程序员们创造了一件威力无比的武器,却没想到它最终会指向自己。
未来该怎么办呢?
或许,唯一的选择就是让AI来辅助修复漏洞。
即使你再不情愿使用AI,面对AI产生的漏洞海啸,也不得不认真考虑:是放任漏洞存在,还是赶紧用AI修复?
我想,大多数人都会选择后者。
从写代码到审计代码,从挖漏洞到修复漏洞,再到验证漏洞是否被修复,这些工作早晚都会被AI接管。
而人类将退居系统之外,成为“规则制定者”和“最终裁决者”,冷眼旁观这一切的发生。
