Ведущий разработчик проекта cURL Даниэль Стенберг объявил о закрытии программы вознаграждений за найденные уязвимости с января 2026 года. Причина — наплыв недобросовестных отчётов, сгенерированных инструментами ИИ, которые перегружали команду.
Ну вот и случилось. Curl, утилита/библиотека командной строки для передачи данных с использованием URL, работающая практически на всём — от Windows до FreeBSD, — свернула свою программу вознаграждений за обнаружение уязвимостей (bug bounty).
Это решение было принято на прошлой неделе, когда Даниэль Стенберг, ведущий разработчик и создатель проекта, опубликовал запрос на слияние (pull request) в GitHub с целью удалить все упоминания о программе из документации. Он установил конец января 2026 года в качестве финальной даты. Вот что он заявил:
Программа вознаграждений за баги в curl действовала до конца января 2026 года. Теперь она прекращена.Проект curl больше не предлагает никаких вознаграждений за сообщения об ошибках или уязвимостях. Мы также не оказываем содействия исследователям безопасности в получении таких наград за проблемы с curl из других источников.Мы пришли к тяжёлому выводу, что программа баунти даёт людям слишком сильные стимулы для поиска и фабрикации “проблем” в недобросовестных целях, что приводит к перегрузке и злоупотреблениям.Мы по-прежнему ценим и признаём важность обоснованных сообщений об уязвимостях.
Стенберг сообщил изданию etn.se, что поток “мусора от ИИ” и некачественных отчётов настолько возрос, что команде пришлось “попытаться остановить наводнение, чтобы не утонуть”. Разработчик уже ранее публично высказывал недовольство тем, что он называет “AI crap” (мусором от ИИ), который наводнил программу баунти на платформе HackerOne.
Поддерживающие проект разработчики, которым приходится разбирать эти отчёты, сгенерированные ИИ, с трудом понимают их суть, поскольку большинство из них бессмысленны. Многим инструментам ИИ не хватает необходимого контекста кода для создания адекватных отчётов, что в итоге отвлекает разработчиков от действительно важных проблем, требующих исправления.
В конце концов, cURL ввёл политику, согласно которой любой заявитель, представивший “AI Slop” (мусор от ИИ), будет исключён из программы. Однако это не остановило наплыв низкокачественных материалов. К середине 2025 года Стенберг начал рассматривать возможность полного закрытия программы, чтобы устранить финансовую мотивацию для подачи недоброкачественных сообщений.
Программа баунти cURL существовала с 2019 года и управлялась через HackerOne. За время её работы было выплачено более 100 000 долларов за подтверждённые сообщения о критических уязвимостях.
Очевидно, cURL — не единственный проект, тонущий в этой жиже отчётов об ошибках, сгенерированных искусственным интеллектом. Среди других проектов, столкнувшихся с этой проблемой, — Python Software Foundation, React и Apache Airflow.
Вы можете ознакомиться с оригинальным PR Стенберга здесь.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Uzondu