Автор curl Даниэль Стенберг сообщил, что проект прекратит программу вознаграждения за обнаружение ошибок в конце января 2026 года.
В мае 2025 года Стенберг объявил, что его проект перестанет изучать отчёты об уязвимостях через платформу HackerOne, полученные с помощью ИИ-систем. По заверению разработчика, подобные массовые сообщения об уязвимостях перегружают команду проекта. Для проверки ИИ-отчётов необходимо время, которое несравнимо с тем временем, что тратится для создания подобных отчётов при помощи ИИ.
Летом Стенберг анонсировал, что из-за обилия ИИ-мусора он готов полностью ликвидировать программу bug bounty. Он пожаловался, что мейнтейнеры оказались завалены сообщениями об ошибках, которые создаются с помощью ИИ.
Тогда Стенберг рассказал, что это настолько низкокачественные материалы, что не всегда возможно определить, написал ли их человек или ИИ-модель.
«Главная тенденция 2025 года — ИИ-мусора стало больше, чем когда-либо прежде (около 20% всех отчётов). А в среднем мы получаем около двух отчётов об уязвимостях в неделю. По состоянию на начало июля лишь порядка 5% сообщений, полученных в 2025 году, оказались настоящими уязвимостями. Показатель валидности значительно снизился по сравнению с предыдущими годами», — писал разработчик.
«Лично я и так трачу на Curl безумное количество времени, и даже три часа, потраченные впустую, ещё оставляют время для других дел. Однако мои коллеги посвящают Curl всё своё время. У них для проекта может быть всего три часа в неделю. Не говоря уже о том, сколько эмоциональных сил уходит на эти умопомрачительные глупости», — жаловался Стенберг.
В итоге разработчик пришёл к пересмотру программы вознаграждений для curl. По его словам, с 2019 года было выплачено более $90 000 за 81 обнаруженную уязвимость.
Примечательно, что в октябре Стенберг рассказал, как ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и обнаружить сразу 50 ошибок и багов в открытой утилите.
