- Проект curl прекратит программу bug bounty в конце января 2026 года.
- Основной причиной стали многочисленные низкокачественные отчёты об уязвимостях, созданные с помощью ИИ.
- С 2019 года за находки уязвимостей было выплачено более $90 000, однако валидность отчётов в 2025 году снизилась до 5%.
Автор популярного проекта curl, Даниэль Стенберг, объявил о планах завершить программу вознаграждений за обнаружение ошибок (bug bounty) к концу января 2026 года. Такое решение стало следствием значительного увеличения объёма недостоверных отчетов об уязвимостях, большинство из которых создаётся с применением искусственного интеллекта. В мае 2025 года разработчик уже сообщил, что не будет рассматривать ИИ-сгенерированные отчеты, поступающие через платформу HackerOne. По его словам, проверка таких сообщений требует чрезмерного времени, не сопоставимого с его вкладом в собственную разработку.
Летом 2025 года Стенберг подробно объяснил, что количество мусорных сообщений выросло до уровня, когда поддержка программы стала неэффективной. Мейнтейнеры проекта сталкиваются с массовым потоком заявок низкого качества, среди которых невозможно порой даже определить, были ли они сгенерированы человеком или ИИ. Согласно опубликованным данным, в 2025 году лишь около 5% отчётов оказались корректными, что значительно ниже по сравнению с предыдущими годами, когда среднее число валидных уязвимостей было гораздо выше.
Разработчик подчеркнул, что время и эмоциональные ресурсы, затрачиваемые командой curl на разбор ложных сообщений, очень велики, несмотря на то, что сам он готов выделять время на поддержку проекта. Для некоторых участников команды, выделенных на CURL, всего лишь три часа в неделю на работу, а нагрузка от “ИИ-мусора” становится непреодолимой.
Стартап bug bounty в curl существовал с 2019 года, за этот период было обнаружено 81 уязвимость и выплачено свыше 90 000 долларов. Однако на фоне современных вызовов, связанных с появлением большого количества автоматизированных, но низкокачественных репортов, разработчик принимает решение свернуть программу, чтобы сосредоточиться на более продуктивных направлениях работы.
Интересно отметить, что одновременно с этими сложностями появление ИИ-инструментов позволило некоторым специалистам по безопасности улучшить эффективность тестирования кода. Например, в октябре 2025 года исследователь Джошуа Роджерс при помощи набора ИИ-инструментов выявил сразу 50 ошибок в одной популярной утилите, что демонстрирует потенциал ИИ в сфере обеспечения безопасности при условии правильного его использования.
