全球最流行软件cURL，正被AI漏洞海啸推向崩溃边缘？

2026-06-05 05:02:45未知作者:徽声在线

对于多数普通用户而言，cURL这个名称或许显得十分陌生，但它却是全球范围内应用最为广泛的软件之一。

作为网络传输领域的领军者，这款开源软件几乎支持所有主流传输协议，包括HTTP、HTTPS、FTP、FTPS、Gopher、IMAP、Kerberos、LDAP、MQTT、POP3、RTSP、SCP、SMTP、SMB等。

在网络无处不在的今天，cURL的身影几乎无处不在。

它不仅被预装在Linux、Windows、iOS、Android、MacOS等主流操作系统中，

还广泛应用于各类物联网设备，如智能厨房设备、医疗设备、打印机、智能手表以及智能汽车等。

据其创始人兼首席开发者丹尼尔·斯坦伯格（Daniel Stenberg）估算，cURL及其底层库libcurl已被安装在全球超过300亿台设备上！

然而，这艘在开源海洋中航行了近30年的巨轮，如今正面临由AI引发的漏洞海啸，濒临崩溃的边缘。

AI引发的漏洞风暴

今年以来，AI在辅助漏洞审计方面的能力实现了质的飞跃。cURL团队收到的漏洞报告数量激增，速度已是2024年的4-5倍，2025年的2倍，平均每天超过一份。

与以往不同，这些报告不再是AI生成的“低质量垃圾”，而是质量上乘、细节丰富、篇幅冗长的深度分析。

AI如同一个超高分辨率的显微镜，深入剖析cURL多年积累的老代码，将隐藏在最深处的陈年漏洞逐一挖掘出来。

丹尼尔坦言，这是cURL项目近30年来从未遭遇过的巨大压力。

面对如潮水般的漏洞报告，开源社区的短板暴露无遗：人力和资金严重不足。

尽管cURL运行在全球数百亿台设备上，但其核心维护团队却异常精简，很大程度上依赖丹尼尔一人的无私奉献。

自2019年起，丹尼尔开始全职投入cURL项目，原本计划每周工作50小时，但后来不得不每晚加班数小时，一周七天无休，生活与项目已完全融为一体。

如今，为了应对这波AI漏洞报告狂潮，他长期处于高强度工作状态。

深夜和周末都在紧张地审查代码、修复漏洞，工作负担远超常人承受范围。

他的家庭也因此陷入危机，妻子首次对他的健康和生活失衡表示强烈担忧，朋友们也警告他：你快要“燃尽”（Burnout）了。

但丹尼尔无法放手，因为cURL的影响范围实在太广了！

任何一个漏洞，都可能波及全球无数服务器、操作系统和联网设备。因此，丹尼尔和他的团队必须理智地面对每一个AI报告，死磕到底。

幸运的是，经过多年的严苛测试，cURL的底层架构足够坚固。

尽管AI挖掘出了不少漏洞，但绝大多数被评为“低”或“中”风险，尚未出现那种致命的高危漏洞。

丹尼尔略带自嘲地表示，他甚至有点羡慕那些曾捅出大娄子的开源项目（如Log4j），这些项目在引发全球灾难后，反而获得了企业的巨大关注和资金资助，从而能够雇佣更多全职程序员。

而cURL由于多年来代码质量上乘，反而一直缺乏商业公司的财务支持。

这真是一个讽刺的开源悖论。

开源社区的普遍焦虑

丹尼尔所面临的压力，实际上是整个开源社区的缩影。

今年4月，徽声在线报道了Anthropic发布的Mythos模型，该模型在漏洞挖掘方面的能力令人震惊。

短短六周内，它就在全球最重要的系统软件中发现了2万多个漏洞，其中四分之一属于高危或严重级别。几个典型案例包括：

(1) OpenBSD存在27年的漏洞

OpenBSD被誉为全球安全性最高的操作系统之一，常用于运行防火墙和其他关键基础设施。

(2) FFmpeg存在16年的漏洞

FFmpeg是视频领域的绝对霸主，无数软件都依赖它进行视频编码和解码。

(3) Linux内核漏洞

通过串联Linux内核中的几个漏洞，攻击者可以从普通权限提升到对机器的完全控制。

由于Mythos模型过于强大，具有极强的“双重用途风险”（既可用于防御，也可能被用于攻击），Anthropic并未向公众开放该模型，而是启动了名为Project Glasswing的限制性安全联盟，仅向少数大型科技公司、基础设施组织以及部分关键开源项目提供访问权限。

即便如此，它发现的漏洞数量已经让许多开源维护者不堪重负，纷纷呼吁：能否放慢披露速度？我们真的没人手、没时间修复啊。

过去，只有极少数顶尖黑客才有能力对大型基础设施发动深度攻击。如今，一个普通人只需将代码交给AI，就能发现各种漏洞。原本属于顶级安全研究员的能力，开始被大规模平民化，这是最令人不安的地方。

程序员们创造了一件威力无比的武器，却没想到它最终会指向自己。

未来该怎么办呢？

或许，唯一的选择就是让AI来辅助修复漏洞。

即使你再不情愿使用AI，面对AI产生的漏洞海啸，也不得不认真考虑：是放任漏洞存在，还是赶紧用AI修复？

我想，大多数人都会选择后者。

从写代码到审计代码，从挖漏洞到修复漏洞，再到验证漏洞是否被修复，这些工作早晚都会被AI接管。

而人类将退居系统之外，成为“规则制定者”和“最终裁决者”，冷眼旁观这一切的发生。