Curl stopt opnieuw maand lang met bugbounty's vanwege overdaad aan AI-slop

In dit artikel:

Curl stopt opnieuw een maand met het ontvangen van kwetsbaarheidsmeldingen. Het team achter de commandline-tool — hoofdzakelijk onderhouden door een klein aantal vrijwilligers onder leiding van Daniel Stenberg — sluit het HackerOne-invulformulier en kijkt tussen 1 juli en 3 augustus geen beveiligingsmailtjes na. Stenberg noemt de pauze gekscherend de "summer of bliss".

Door de tijdelijke stop schuift ook de geplande release van curl 8.22.0 op: in plaats van augustus verschijnt de nieuwe versie op 2 september. De maatregel komt voort uit een overweldigende toestroom van bugrapporten, veel daarvan (deels) door AI gegenereerd, die de beschikbare maintainers niet langer kunnen verwerken. Curl is wijdverbreid in vele Linux-distributies en wordt door weinig mensen onderhouden, waardoor de triage-werkdruk snel onhoudbaar werd.

Eerder dit jaar lag het bugbountyprogramma al tijdelijk stil; toen het werd hervat werden financiële beloningen afgeschaft en bleef alleen een vermelding op de wall of fame over. Het besluit illustreert het bredere probleem dat een stortvloed aan AI-gegenereerde meldingen open‑sourceprojecten belemmert in hun beveiligingswerk.