Οι δημιουργοί του εργαλείου curl σταματούν το bug bounty πρόγραμμα, εξαιτίας της μεγάλης αύξησης των αναφορών (reports) που είναι εν μέρει παραγόμενες από AI.
Η αξιολόγηση αυτών των αναφορών απαιτεί πολύ χρόνο, ενώ ελάχιστες περιέχουν πραγματικές ευπάθειες.
Ο Daniel Stenberg, επικεφαλής προγραμματιστής του curl, αναφέρει σε commit στο GitHub ότι αφαιρούνται όλες οι αναφορές στο bug bounty πρόγραμμα και στην πλατφόρμα HackerOne. Όπως γράφει:
«Το έργο curl δεν προσφέρει πλέον ανταμοιβές για αναφερόμενα bugs ή ευπάθειες. Επίσης δεν βοηθάμε ερευνητές ασφάλειας να εξασφαλίσουν ανταμοιβές από άλλες πηγές για ζητήματα που αφορούν το curl. Μάθαμε με τον δύσκολο τρόπο ότι ένα bug bounty πρόγραμμα ωθεί υπερβολικά τους ανθρώπους στο να “βρίσκουν” και να επινοούν κακόπιστα “προβλήματα”, οδηγώντας σε υπερφόρτωση και κατάχρηση.»
Η εξήγηση στο Mastodon: «Μας εξαντλεί»
Σε ανάρτησή του στο Mastodon, ο Stenberg δίνει περισσότερες λεπτομέρειες για την απόφαση. Αναφέρει ότι το έργο έλαβε φέτος 20 υποβολές στο HackerOne και καμία δεν περιείχε επιβεβαιωμένη ευπάθεια.
Σύμφωνα με τον ίδιο, αυτή η κατάσταση δεν είναι βιώσιμη:
«Το curl είναι ένα μικρό project. Δεν μπορούμε να περνάμε κάθε μέρα ώρες συζητώντας με ανθρώπους που θέλουν χρήματα για κάτι που ίσως είναι bug – αλλά συχνά δεν είναι καν. Μας εξαντλεί. Μας διαλύει.»
Δεν ήταν κεραυνός εν αιθρία: το πρόβλημα είχε φανεί από το 2025
Η απόφαση δεν ήρθε ξαφνικά. Τον Ιούλιο του 2025, ο Stenberg είχε ήδη παραπονεθεί σε blog post για την τεράστια ποσότητα AI-generated bug bounty reports που λάμβανε το curl. Τότε είχε εκτιμήσει ότι περίπου 20% των αναφορών έμοιαζαν να έχουν παραχθεί από AI.
Παράλληλα, υπήρχε και ένα κύμα αναφορών από «πραγματικούς ανθρώπους» με επίσης χαμηλή ποιότητα, για τις οποίες οι προγραμματιστές του curl υποψιάζονταν ότι είχαν φτιαχτεί με βοήθεια AI.
Τι είναι το curl και γιατί έχει σημασία
Το curl είναι ένα πολύ διαδεδομένο εργαλείο για μεταφορά δεδομένων μέσω διαφορετικών πρωτοκόλλων.
Χρησιμοποιείται, μεταξύ άλλων, για να ανακτά κανείς πληροφορίες από websites μέσω command line και αποτελεί βασικό «γρανάζι» σε workflows προγραμματισμού, DevOps και αυτοματισμών.
Bug bounty στην εποχή του AI: όταν το “volume” νικά την ποιότητα
Η υπόθεση του curl δείχνει ένα νέο μοτίβο στην ασφάλεια λογισμικού: τα bug bounty προγράμματα κινδυνεύουν να γίνουν θύματα μαζικής παραγωγής αναφορών, όπου η AI “φουσκώνει” τον αριθμό των submissions χωρίς να αυξάνει αναλογικά τα πραγματικά ευρήματα.
Γιατί τα AI-generated reports είναι τόσο δύσκολα στο triage
Πολλά reports φαίνονται καλογραμμένα, αλλά:
- δεν περιλαμβάνουν repro steps που να δουλεύουν,
- μπερδεύουν best practices με πραγματικές ευπάθειες,
- βασίζονται σε γενικόλογα “πιθανόν υπάρχει issue” χωρίς απόδειξη.
Αυτό μεταφέρει το κόστος από τον αναφέροντα στον maintainer: ο maintainer πρέπει να γίνει «εξεταστής» και να αποδείξει ότι δεν υπάρχει πρόβλημα.
Πως μπορούν τα open source projects να προστατευτούν
Θέσπιση “quality gates” πριν το report θεωρηθεί έγκυρο
Μια πρακτική είναι να απαιτείται:
- ελάχιστο proof of concept,
- σαφής περιγραφή impact,
- συγκεκριμένη έκδοση/περιβάλλον,
- και, όπου γίνεται, σύνδεση με CWE κατηγοριοποίηση.
Μετατόπιση από “bounty” σε “sponsored audits”
Για μικρά projects, ίσως είναι πιο ρεαλιστικό ένα μοντέλο χρηματοδότησης που δίνει χρήματα σε στοχευμένους ελέγχους (audits) από αξιόπιστες ομάδες, αντί για ανοικτό bounty που προσελκύει spam.
