Разработчик популярной утилиты командной строки и библиотеки curl объявил, что в конце этого месяца проект прекратит участие в программе вознаграждения за обнаружение уязвимостей HackerOne из-за большого количества некачественных отчётов об уязвимостях, сгенерированных искусственным интеллектом.
Это изменение было впервые обнаружено в незавершённом коммите в документации BUG-BOUNTY.md для curl, в котором удаляются все ссылки на программу HackerOne.
После объединения файл будет обновлён и в нём будет указано, что проект curl больше не предлагает вознаграждение за обнаружение ошибок или уязвимостей и не помогает исследователям получать компенсацию от третьих лиц.
«До конца января 2026 года действовала программа вознаграждения за обнаружение ошибок в curl. Теперь её нет. Проект curl больше не предлагает вознаграждение за обнаружение ошибок или уязвимостей. Мы также не помогаем исследователям в области безопасности получать такое вознаграждение за проблемы с curl из других источников», — говорится в предстоящем обновлении.
curl — это утилита командной строки, которая позволяет передавать данные по различным протоколам, чаще всего используемым для подключения к веб-сайтам. Соответствующая библиотека libcurl позволяет разработчикам встраивать curl в свои приложения для упрощения передачи файлов.
С 2019 года программа вознаграждения за обнаружение ошибок реализуется через HackerOne и Internet Bug Bounty. За ответственное раскрытие уязвимостей в curl и libcurl предлагается денежное вознаграждение.
Дэниел Стенберг, основатель и ведущий разработчик curl, говорит, что в программе значительно увеличилось количество бесполезных и недействительных отчётов, многие из которых, судя по всему, созданы искусственным интеллектом.
«Мусорный ИИ» — это растущий поток низкокачественного контента, созданного искусственным интеллектом, который хорошо звучит, но на самом деле не содержит ничего полезного или продуктивного.
В недавнем посте в своей личной рассылке Стенберг объясняет, что эти некачественные отчёты создают нагрузку на команду разработчиков безопасности curl, из-за чего он решил выйти из программы.
«В начале недели мы получили семь заявок на Hackerone за 16 часов. Некоторые из них действительно были связаны с ошибками, и на их обработку ушло немало времени. В итоге мы пришли к выводу, что ни одна из них не связана с уязвимостью, и теперь мы насчитываем 20 заявок, поступивших в 2026 году», — объяснил Стенберг.
«Основная цель прекращения выплаты вознаграждений — лишить людей стимула присылать нам бесполезные и плохо проработанные отчёты. Независимо от того, сгенерированы они искусственным интеллектом или нет. Из-за большого количества поступающих отчётов команда по безопасности curl испытывает высокую нагрузку, и это попытка уменьшить шум», — продолжил он в своём посте.
В комментариях к запросу на включение Стенберг сказал, что выход из HackerOne может не остановить поток ложных сообщений. Однако он отметил, что curl — это небольшой проект с открытым исходным кодом и ограниченным числом активных сопровождающих, и что для обеспечения его жизнеспособности и защиты психического здоровья разработчиков ему необходимо предпринять эти действия.
Стенберг также привёл примеры того, что он считает отчётами ИИ, содержащими ошибки, и сказал, что в curl наблюдается резкий рост количества сообщений о проблемах с безопасностью по сравнению с другими проектами с открытым исходным кодом.
«Похоже, у нас есть данные, подтверждающие, что количество заявок на участие в программе #curl bug-bounty резко возросло к 2025 году, в то время как количество заявок на участие в нескольких других программах с открытым исходным кодом, также размещённых на Hackerone, не изменилось», — Стенберг написал в Mastodon.
Переход от программы вознаграждения за обнаружение ошибок HackerOne к внутреннему процессу подачи заявок будет происходить поэтапно.
Стенберг говорит, что проект curl будет принимать заявки на участие в HackerOne до 31 января 2026 года и что все заявки, находящиеся в процессе рассмотрения на тот момент, будут обработаны.
С 1 февраля 2026 года проект больше не будет принимать заявки на участие в HackerOne. Вместо этого мы просим исследователей сообщать о проблемах с безопасностью напрямую через GitHub.
Новая позиция Curl также отражена в недавнем обновлении файла security.txt, в котором говорится, что проект не предлагает денежную компенсацию за сообщения об уязвимостях, и содержится предупреждение о том, что люди, отправляющие «бредовые» сообщения, будут забанены и публично осмеяны.
Стенберг говорит, что на следующей неделе опубликует пост в блоге с более подробной информацией об этом грядущем изменении.