✔Bug bounty программа Curl закрывается из-за ИИ-слопа - «Новости»

24 января 2026 0 Новости / Заработок / Отступы и поля / Изображения / Преимущества стилей / Добавления стилей / Текст / Интернет и связь 0

Закрытие программы будет происходить поэтапно. До 31 января 2026 года Curl продолжит принимать сообщения об ошибках через HackerOne, и все отчеты, находящиеся в работе на эту дату, будут рассмотрены полностью. Однако с 1 февраля проект полностью откажется от приема новых заявок на HackerOne и перейдет на прямые сообщения об уязвимостях через GitHub.

Как мы уже писали ранее, Стенберг жалуется на проблемы с ИИ-слопом с 2024 года. Разработчик уже предупреждал о том, что около 20% всех отчетов генерируются с помощью ИИ, а показатель валидности сообщений значительно снизился — в прошлом году лишь 5% уязвимостей оказывались реальными. При этом команда безопасности Curl состояла всего из семи человек, и каждый отчет требовал проверки тремя-четырьмя рецензентами, а процесс в среднем занимал от 30 минут до трех часов.

Как теперь рассказал Стенберг, в январе 2026 года ситуация стала критической. Он пишет, что всего за 16 часов в начале недели команда получила семь отчетов через HackerOne, а к середине месяца обработала более 20 отчетов. Как выяснилось, ни одно из этих сообщений не было связано с реальной уязвимостью. Стенберг объясняет:

«Главная цель закрытия программы bug bounty — устранить стимул, который побуждает людей присылать нам бессмысленные и плохо проработанные отчеты. И не важно, сгенерированы они ИИ или нет. Нынешний поток заявок создает высокую нагрузку на команду безопасности Curl, и это попытка снизить информационный шум».

Разработчик признает, что уход с платформы HackerOne, вероятно, не остановит поток некачественных отчетов об ошибках полностью. Однако он подчеркивает, что Curl — небольшой опенсорсный проект с ограниченным числом активных мейнтейнеров, и такой шаг необходим для выживания проекта, а также сохранения ментального здоровья разработчиков.

Стенберг опубликовал примеры того, что он считает ИИ-слопом, а также представил данные, подтверждающие резкий рост числа сообщений об уязвимостях в Curl по сравнению с другими опенсорсными проектами на HackerOne. В Mastodon специалист пишет:

«У нас есть данные, которые подтверждают, что в 2025 году bug bounty программа Curl столкнулась с резким ростом количества отчетов, тогда как у ряда других опенсорсных проектов, также размещенных на HackerOne, подобного не наблюдалось».

В новом файле security.txt разработчики проекта четко обозначили свою позицию: Curl больше не предлагает денежного вознаграждения за найденные уязвимости и не помогает исследователям получить компенсацию от третьих лиц. Более того, подчеркивается, что те, кто присылает мусорные отчеты, будут забанены и публично высмеяны.

Bug bounty программа Curl и libcurl работала с 2019 года через HackerOne и Internet Bug Bounty. За это время ИБ-исследователям выплатили более 90 000 долларов за 81 обнаруженную уязвимость.

Подробности о грядущих изменениях Стенберг обещает опубликовать в отдельном посте на следующей неделе.

Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) объявил о закрытии программы bug bounty проекта на платформе HackerOne. Причиной стал неконтролируемый поток низкокачественных отчетов об уязвимостях, значительная часть которых сгенерирована с помощью ИИ. Закрытие программы будет происходить поэтапно. До 31 января 2026 года Curl продолжит принимать сообщения об ошибках через HackerOne, и все отчеты, находящиеся в работе на эту дату, будут рассмотрены полностью. Однако с 1 февраля проект полностью откажется от приема новых заявок на HackerOne и перейдет на прямые сообщения об уязвимостях через GitHub. Как мы уже писали ранее, Стенберг жалуется на проблемы с ИИ-слопом с 2024 года. Разработчик уже предупреждал о том, что около 20% всех отчетов генерируются с помощью ИИ, а показатель валидности сообщений значительно снизился — в прошлом году лишь 5% уязвимостей оказывались реальными. При этом команда безопасности Curl состояла всего из семи человек, и каждый отчет требовал проверки тремя-четырьмя рецензентами, а процесс в среднем занимал от 30 минут до трех часов. Как теперь рассказал Стенберг, в январе 2026 года ситуация стала критической. Он пишет, что всего за 16 часов в начале недели команда получила семь отчетов через HackerOne, а к середине месяца обработала более 20 отчетов. Как выяснилось, ни одно из этих сообщений не было связано с реальной уязвимостью. Стенберг объясняет: «Главная цель закрытия программы bug bounty — устранить стимул, который побуждает людей присылать нам бессмысленные и плохо проработанные отчеты. И не важно, сгенерированы они ИИ или нет. Нынешний поток заявок создает высокую нагрузку на команду безопасности Curl, и это попытка снизить информационный шум». Разработчик признает, что уход с платформы HackerOne, вероятно, не остановит поток некачественных отчетов об ошибках полностью. Однако он подчеркивает, что Curl — небольшой опенсорсный проект с ограниченным числом активных мейнтейнеров, и такой шаг необходим для выживания проекта, а также сохранения ментального здоровья разработчиков. Стенберг опубликовал примеры того, что он считает ИИ-слопом, а также представил данные, подтверждающие резкий рост числа сообщений об уязвимостях в Curl по сравнению с другими опенсорсными проектами на HackerOne. В Mastodon специалист пишет: «У нас есть данные, которые подтверждают, что в 2025 году bug bounty программа Curl столкнулась с резким ростом количества отчетов, тогда как у ряда других опенсорсных проектов, также размещенных на HackerOne, подобного не наблюдалось». В новом файле security.txt разработчики проекта четко обозначили свою позицию: Curl больше не предлагает денежного вознаграждения за найденные уязвимости и не помогает исследователям получить компенсацию от третьих лиц. Более того, подчеркивается, что те, кто присылает мусорные отчеты, будут забанены и публично высмеяны. Bug bounty программа Curl и libcurl работала с 2019 года через HackerOne и Internet Bug Bounty. За это время ИБ-исследователям выплатили более 90 000 долларов за 81 обнаруженную уязвимость. Подробности о грядущих изменениях Стенберг обещает опубликовать в отдельном посте на следующей неделе.

Цитирование статьи, картинки - фото скриншот - Rambler News Service.

Иллюстрация к статье - Яндекс. Картинки.

Есть вопросы. Напишите нам.

Общие правила поведения на сайте.