Поделиться
Разработчик суперпопулярной утилиты для Linux перестал выплачивать деньги за поиск в ней уязвимостей. Не вынесли потока нейросетевого бреда
Глава разработки сверхпопулярной свободной утилиты с открытым кодом cURL, которую можно найти едва ли не в любом дистрибутиве Linux, в macOS, Windows 10 и 11, закрыл программу Bug Bounty, действовавшую с 2019 г. Разработчики не выдержали потока бесполезных багрепортов, сгенерированных охотниками за вознаграждением при помощи ИИ – на их проверку уходило слишком много времени.cURL осталась без Bug Bounty
Разработчики популярной свободной утилиты cURL принял решение о закрытии программы по поиску уязвимостей в коде за вознаграждение (Bug Bounty) после того, как столкнулись с потоком багрепортов низкого качества, сгенерированных с использованием искусственного интеллекта (ИИ), пишет The Register.
cURL – кросс-платформенная утилита командной строки для взаимодействия с серверами через интернет по множеству различных протоколов (например, HTTP(S), FTP, LDAP, SMTP) с синтаксисом URL.
На прошлой неделе глава проекта Даниэль Стенберг (Daniel Stenberg) выполнил коммит в репозиторий cURL на GitHub, озаглавленный “BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026”. Из него следует, что отправляющим отчеты об ошибках в cURL пользователям и исследователям с февраля 2026 г. больше нельзя будет претендовать на получение денежного вознаграждения.
Программа Bug Bounty для cURL действовала с апреля 2019 г. В качестве площадки для взаимодействия с исследователями использовалась платформа HackerOne.
Последняя капля
Недовольство поступлением большого количества отчетов об ошибках, подготовленных нейросетями, Стенберг начал высказывать еще в начале 2024 г. К середине 2025 г. глава проекта начал задумываться о прекращении Bug Bounty, однако получив несколько ценных багрепортов, созданных при помощи ИИ-инструментов, делать этого не стал.
В середине января 2026 г. Стенберг написал в почтовую рассылку, что за последнюю неделю в рамках программы поиска уязвимостей поступило семь отчетов, и на поверку описанное ни в одном из них нельзя было классифицировать как уязвимость. На то, чтобы это установить, у него ушло «довольно много времени» и, вероятно, стало последней каплей, после которой программист принял решение о закрытии Bug Bounty.
В своем сообщении он выразил надежду на то, что ее отмена позволит отсечь от процесса поиска уязвимостей в cURL группу людей, которые присылают некачественные и плохо проработанные отчеты, в том числе созданные ИИ.
«Нынешний поток багрепортов создает большую нагрузку на команду специалистов по безопасности curl, и это [отказ от программы Bug Bounty] попытка снизить уровень информационного шума», – пояснил Стенберг.
Нейросетевой бред против ручного труда
По состоянию на начало 2024 г., когда Стенберг впервые начал публично критиковать отправляющих багрепорты, сгенерированные ИИ, в рамках программы багбаунти было выплачено суммарно более $70 тыс. К маю 2025 г. эта сумма достигла $86 тыс.
По словам лидера проекта, из 415 отчетов об уязвимостях в cURL, полученных разработчиками к началу 2024 г., 64 представляли собой описание угроз безопасности, которые впоследствии были подтверждены, еще 77 содержали полезные сведение – о багах, наличие которых напрямую не влияло на безопасность использования утилиты.
Остальные же – около 66% от всех присланных – оказались полностью бесполезными. Тем не менее все они потребовали ручной проверки, разработчики были вынуждены потратить на нее значительное количество времени. В то же время многие из отправителей таких багрепортов благополучно автоматизировали и ускорили процесс их формирования при помощи инструментов генеративного ИИ.
Современные большие языковые модели по запросу и без участия человека способны создавать развернутые багрепорты, а содержащаяся в них информация может казаться довольно правдоподобной, хотя на деле нередко оказывается лишь плодом «галлюцинаций» нейросети. Стенберг тогда раскритиковал подобный подход к поиску уязвимостей в ПО, но признал тот факт, что ИИ-инструменты могут быть полезны в процессе, если не исключать из него человека.
Некоторые факты о cURL
сURL состоит из двух основных компонентов. Код библиотеки libcurl, содержащей основную функциональности, и curl – обертки для нее является открытым, распространяется на условиях свободной лицензии curl (основана на лицензии MIT), публикуется на хостинге ИТ-проектов Github корпорации Microsoft и развивается силами сообщества.
Программа cURL входит в состав macOS, большинства дистрибутивов Linux, а с апреля 2018 г. – в ОС семейства Microsoft Windows.
Автором и основным разработчиком curl является шведский программист Даниэль Стенберг, развивающий утилиту с 1996 г.
Короткая ссылка
