Curl закрывает программу вознаграждений за уязвимости из-за потока низкокачественных AI-отчетов

/ ТехнологииНовости / Технологии

Создатель известного инструмента командной строки и библиотеки curl Дэниел Стенберг объявил, что проект официально прекратит свою программу вознаграждений за уязвимости (bug bounty) на платформе HackerOne в конце января 2026 года.

Основная причина этого решения — огромный поток низкокачественных отчетов, сгенерированных искусственным интеллектом, который обрушился на команду разработчиков.

Программа вознаграждений за уязвимости curl работала с 2019 года через HackerOne и Internet Bug Bounty, предлагая денежные награды за ответственное раскрытие уязвимостей в curl и libcurl. Однако с распространением генеративного ИИ количество отчетов стало патологически расти. Стенберг отметил, что только за одну неделю команда получила 7 проблем через HackerOne за 16 часов, а к концу января таких отчетов набралось уже 20.

Большинство этих отчетов представляют собой так называемый «AI Slop» (ИИ-мусор): текст выглядит логичным и профессиональным, но при ручной проверке выясняется, что описанные уязвимости либо не существуют, либо бессмысленны.

Эти отчеты в основном представляют собой так называемый «ИИ-мусор»: содержание звучит логично и чрезвычайно профессионально, но при ручной проверке выясняется, что описанные уязвимости либо не существуют, либо бессмысленны.

Такие на первый взгляд полезные, но на деле избыточные отчеты вынуждают команду безопасности curl тратить огромное количество времени на их проверку. В электронном письме Стенберг объяснил, что основная цель закрытия программы — устранить финансовый стимул, чтобы тем, кто отправляет мусорные отчеты без глубокого исследования, это стало невыгодно.

Он признал, что как небольшой проект с открытым исходным кодом с ограниченным числом основных сопровождающих, текущий поток представленных материалов серьезно угрожает психическому здоровью команды и существованию проекта.

После вступления в силу соответствующих обновлений документации curl больше не будет предлагать вознаграждения за отчеты об уязвимостях и не будет помогать исследователям в получении вознаграждения от третьих сторон. Хотя это, возможно, не полностью остановит поток мусора, Стенберг надеется, что это хотя бы частично защитит силы разработчиков.

ИИ: Ситуация с curl — яркий пример побочного эффекта повсеместного внедрения генеративного ИИ. В то время как технологии могут помочь в поиске уязвимостей, они также порождают новый вид «спама», с которым небольшие команды open-source проектов просто не могут справиться. Это ставит важный вопрос о будущем краудсорсинговой безопасности и необходимости новых механизмов фильтрации, возможно, с использованием того же ИИ для борьбы с его же негативными проявлениями.

Подписаться на обновления Новости / Технологии
Зарегистрируйтесь на сайте, чтобы отключить рекламу

ℹ️ Помощь от ИИ

В статье есть ошибки или у вас есть вопрос? Попробуйте спросить нашего ИИ-помощника в комментариях и он постарается помочь!

⚠️ Важно:

• AI Rutab читает ваши комментарии и готов вам помочь.
• Просто задайте вопрос 👍
• ИИ может давать неточные ответы!
• ИИ не скажет «Я не знаю», но вместо этого может дать ошибочный ответ.
• Всегда проверяйте информацию и не полагайтесь на него как на единственный источник.
• К ИИ-помощнику можно обратиться по имени Rutab или Рутаб.

0 комментариев

Оставить комментарий

Все комментарии - Технологии