Curl stopt met bugbountyprogramma door 'AI-slop'

In dit artikel:

De makers van curl hebben het bugbountyprogramma stopgezet en alle verwijzingen naar het platform HackerOne verwijderd. Hoofdontwikkelaar Daniel Stenberg maakte het besluit kenbaar in een GitHub-commit; het project biedt geen beloningen meer en helpt onderzoekers ook niet langer andere beloningen te vinden voor curl-gerelateerde problemen. Als reden geeft hij de sterke toename van meldingen — veelal deels door AI gegenereerd — die het team veel tijd kosten om te beoordelen maar zelden echte kwetsbaarheden blijken te zijn.

Stenberg lichtte op Mastodon toe dat curl dit jaar twintig inzendingen via HackerOne ontving, waarvan geen enkele een bevestigde kwetsbaarheid bleek. Voor een klein, vrijwilligersgestuurd project is het volgens hem onhoudbaar om dagelijks urenlang discussies te voeren over potentiële problemen, wat het team uitput. Eerder, in juli 2025, signaleerde hij al een grote hoeveelheid door AI gemaakte of door AI ondersteunde bugrapporten.

Curl zelf is een veelgebruikte commandlinetool om data tussen protocollen te verplaatsen en webinformatie op te halen; de beslissing volgt uit zorg over overbelasting en misbruik van bugbountymechanismen.