Проект curl свернёт bug bounty в конце января 2026 года

[Hycklare]

Лицемерные луддиты недооценили дырявость своего проекта, но виноват, конечно, ИИ. Лучше бы одумались, как тот линуксоид, который тоже поначалу отрицал ИИ-репорты, а потом оказалось, что 50 штук важных нашлось.

Как над вайбкодингом смеяться, так ИИ плохо пишет, а как ИИ находит дыры в твоём коде, так how dare you.

[iliasm]

при чём тут луддиты? прогнать через ИИ и сами авторы проекта могут, зачем тут прослойка, которая хочет за нажатие кнопки денежку получить? я так понимаю проблема в том, что эти мануфактурщики не перепроверяют что ИИ им сгенерил, а кидают как есть, перегружая систему

[MountainGoat]

Кнопку нажать, оказывается, тоже уметь надо, и сильно разные результаты получить можно.

[iliasm]

можно, думаю, авторы/контрибьютеры курла много кнопок каждый день нажимают, а нажать кнопку и зафлудить без нормальной проверки — ну, такое себе. можно нажать и сделать человекописный pull-request, например, а не в баг-баунти идти за райским наслаждением

[sic]

Вообще прецедент зловещий. Это же любую компанию так могут заспуфить кривыми ИИ репортами...

[BugM]

Уже. И везде решение одно. Запрет нейрослопа в PR и Issue и бан тех кто его приносит.

[sic]

Был бы у нас ещё какой-то автоматизированный детектор нейрослопа. А так все равно время людей будет расходоваться. Сходу и правда кажется, что подача репортов на баунти должна быть платной.

[BugM]

В 25-26 годах он быстро определяется на глаз. Особенно хорошо в коде и в текстах про код. Добавляем всегитхабную доску позора и вроде сойдет.

Потом может и сделают. Заодно и проверим насколько Гитхаб может принимать независимые от МС решения.

[sic]

Да, хорошая идея.

[Apoheliy]

Делаю прогноз на изменение программы "баунти" в условиях наплыва ИванИвановича:

• Хочешь подать репорт на баунти ?: заплати условные $300 (как вариант, заморозь на счёте);

• Если репорт о реально существующей ошибке, то тебе возвращаются твои $300 и плюсом ещё выплачивается баунти;

• Далее просто: хочешь подать 10 репортов от ИИ-красавца? Не вопрос - плати (только экономика может не сойтись).

Другое дело, что такая баунти мало кому будет нужна. Грустно.

По-моему, ИванИванович изгадил вполне хорошую вещь. Да, кто-то скажет, что виноваты люди, а не технические средства. И, наверное, это правильное замечание. Но хорошая вещь - испорчена. И не факт, что её можно будет как-то модифицировать или перестроить на "новых ИИ рельсах".

[alexalexes]

Ну, не $300, хотя бы символический $1.

Сама процедура расчехления кредитки уже уберет халявщиков.

[Cordekk]

ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и обнаружить сразу 50 ошибок и багов в открытой утилите.

Ну ведь там исследователь потратил время и сам проверил эти ошибки, сам оформил баг-репорты, а не просто скопировал туда то, что ему выдал ИИ.