Перетяжка, Премия ТПрогер, 13.11
Перетяжка, Премия ТПрогер, 13.11
Перетяжка, Премия ТПрогер, 13.11
Написать пост

cURL отказалась платить за найденные уязвимости из-за наплыва ИИ-мусора

Новости

Главное, чтобы это не стало тенденцией

152 открытий1К показов
cURL отказалась платить за найденные уязвимости из-за наплыва ИИ-мусора

Один из самых известных open-source проектов в мире — cURL — прекращает выплаты bug bounty.

Причина звучит непривычно, но показательно для 2026 года: проект захлебнулся в ИИ-сгенерированных отчетах об уязвимостях, подавляющее большинство которых оказалось бесполезным просто шумом.

«Смерть от тысячи слопов»

Мейнтейнер cURL Дэниел Стенберг еще в прошлом году описал ситуацию формулой Death by a thousand slops. ИИ-инструменты сделали подачу баг-репортов дешевой и массовой. Но от того глупой и зачастую пустой.

По его словам, разбор таких отчетов отнимает огромное количество времени. Поэтому с конца января cURL полностью отключает денежные вознаграждения за найденные уязвимости.

За все время существования программы было выплачено около $101 000 за 87 отчетов. Сумма скромная, но достаточная, чтобы создать неправильные стимулы у любителей халявы.

Не весь ИИ — мусор, но проверять приходится все

Важный момент: Стенберг подчеркивает, что ИИ-помощь сама по себе не зло. Он знает более сотни полезных баг-репортов, где ИИ действительно помог найти реальные проблемы.

Проблема в другом: чтобы понять, хороший отчет или бессмысленный, мейнтейнеру все равно нужно вручную разбираться в коде. И когда «мусорных» отчетов становится на порядки больше, проект платит за это своим временем и выгоранием.

Неожиданный союзник: охотник за уязвимостями

Любопытно, что решение cURL поддержал известный исследователь безопасности Джошуа Роджерс, который сам активно использует ИИ для поиска багов. Правда, он делает это успешно.

При этом есть ключевое отличие его от тех, из-за кого cURL свою программу сворачивает — Роджерс не отправляет отчеты вслепую. ИИ для него — инструмент анализа, а не автоматический генератор тикетов.

По его мнению, отключение выплат — давно назревший шаг:

Деньги — не главный стимул

Роджерс также считает, что исчезновение наград не приведет к катастрофе. Для серьезных исследователей главная награда — репутация, а не $5000 – $10 000.

При этом он признает перекос: для людей из бедных регионов даже небольшая выплата может быть значимой. Но ценность самой уязвимости для проекта от этого не меняется — а вот нагрузка на разработчиков растет одинаково.

Следите за новыми постами
Следите за новыми постами по любимым темам
152 открытий1К показов
Также рекомендуем
Кодогенерация в ИТ проектах: автоматизация или потеря контроля?
Кодогенерация в ИТ проектах: автоматизация или потеря контроля?
Кодогенерация ускоряет написание кода, помогает минимизировать ошибки и стандартизировать подходы к созданию программных продуктов. Вот только сохраняется ли контроль над разработкой? Не приведёт ли генерация кода к потере уникальности и качества создаваемого ПО? В этом разберёмся в сегодняшней статье ↓
Сжать государственную VIN-базу с 1,5 ГБ до 21 МБ? Реально! Разработчик рассказал как
Сжать государственную VIN-базу с 1,5 ГБ до 21 МБ? Реально! Разработчик рассказал как
Разработчик показал, как сократить государственную VIN-базу с 1,5 ГБ до 21 МБ: анализ данных, удаление лишних таблиц, индексов и грамотная оптимизация под чтение
Почему всё технологическое коммьюнити обсуждает DeepSeek: революция за копейки или новый ИИ-пузырь?
Почему всё технологическое коммьюнити обсуждает DeepSeek: революция за копейки или новый ИИ-пузырь?
DeepSeek – китайская нейросеть, которая бросила вызов гигантам вроде OpenAI. Разбираемся, как она добилась успеха без миллиардных инвестиций и почему вызывает опасения по поводу цензуры и безопасности.
IT рынок раздулся и теперь лопнул — есть ли дефицит в ИТ в 2025 году?
IT рынок раздулся и теперь лопнул — есть ли дефицит в ИТ в 2025 году?
Что происходит с дефицитом кадров в ИТ-сфере. Почему в отрасли наблюдаась нехватка сотрудников, как обстоит ситуация в 2025 году.