- BrainTools - https://www.braintools.ru -

Проект curl свернёт bug bounty в конце января 2026 года

Автор curl Даниэль Стенберг сообщил [1], что проект прекратит программу вознаграждения за обнаружение ошибок в конце января 2026 года.

Проект curl свернёт bug bounty в конце января 2026 года - 1

В мае 2025 года Стенберг объявил [2], что его проект перестанет изучать отчёты об уязвимостях через платформу HackerOne, полученные с помощью ИИ-систем. По заверению разработчика, подобные массовые сообщения об уязвимостях перегружают команду проекта. Для проверки ИИ-отчётов необходимо время, которое несравнимо с тем временем, что тратится для создания подобных отчётов при помощи ИИ.

Летом Стенберг анонсировал [3], что из-за обилия ИИ-мусора он готов полностью ликвидировать программу bug bounty. Он пожаловался, что мейнтейнры оказались завалены сообщениями об ошибках, которые создаются с помощью ИИ.

Тогда Стенберг рассказал, что это настолько низкокачественные материалы, что не всегда возможно определить, написал ли их человек или ИИ-модель.

«Главная тенденция 2025 года — ИИ-мусора стало больше, чем когда-либо прежде (около 20% всех отчётов). А в среднем мы получаем около двух отчётов об уязвимостях в неделю. По состоянию на начало июля лишь порядка 5% сообщений, полученных в 2025 году, оказались настоящими уязвимостями. Показатель валидности значительно снизился по сравнению с предыдущими годами», — писал разработчик. 

«Лично я и так трачу на Curl безумное количество времени, и даже три часа, потраченные впустую, ещё оставляют время для других дел. Однако мои коллеги посвящают Curl всё своё время. У них для проекта может быть всего три часа в неделю. Не говоря уже о том, сколько эмоциональных сил уходит на эти умопомрачительные глупости», — жаловался Стенберг. 

В итоге разработчик пришёл к пересмотру программы вознаграждений для curl. По его словам, с 2019 года было выплачено более $90 000 за 81 обнаруженную уязвимость. 

Примечательно, что в октябре Стенберг рассказал [4], как ИИ-инструменты для проверки кода Almanax, Corgea, ZeroPath, Gecko и Amplify позволили одному исследователю по ИБ Джошуа Роджерсу выявить и обнаружить сразу 50 ошибок и багов в открытой утилите.

Автор: maybe_elf

Источник [5]

Сайт-источник BrainTools: https://www.braintools.ru

Путь до страницы источника: https://www.braintools.ru/article/24325

URLs in this post:

[1] сообщил: https://github.com/curl/curl/pull/20312

[2] объявил: https://habr.com/ru/news/908614/

[3] анонсировал: https://daniel.haxx.se/blog/2025/07/14/death-by-a-thousand-slops/

[4] рассказал: https://habr.com/ru/news/955858/

[5] Источник: https://habr.com/ru/news/985402/?utm_source=habrahabr&utm_medium=rss&utm_campaign=985402

www.BrainTools.ru

Rambler's Top100