Создатели широко известного открытого инструмента cURL объявили о прекращении программы вознаграждений за обнаружение ошибок (Bug Bounty) из-за наплыва низкокачественных отчётов, сформированных системами искусственного интеллекта, сообщает The Register.
cURL — это кроссплатформенная программа для командной строки, предназначенная для обмена данными с сетевыми серверами по множеству протоколов, таких как HTTP(S), FTP, LDAP, SMTP, используя синтаксис URL-адресов.
На прошлой неделе руководитель проекта Даниэль Стенберг (Daniel Stenberg) добавил коммит в репозиторий cURL на GitHub под названием “BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026”. Из него следует, что начиная с февраля 2026 года участники, отправляющие отчёты об уязвимостях в cURL, больше не смогут рассчитывать на денежное вознаграждение.
Программа Bug Bounty для cURL функционировала с апреля 2019 года. Для взаимодействия с исследователями использовалась платформа HackerOne.
Недовольство большим количеством отчётов, подготовленных нейросетями, Стенберг начал выражать ещё в начале 2024 года. К середине 2025 года он уже рассматривал возможность завершения программы Bug Bounty, однако, получив несколько ценных отчётов, созданных с помощью ИИ, решил её продолжить.
В середине января 2026 года Стенберг написал в рассылке, что за последнюю неделю в рамках программы поступило семь отчётов, и ни один из описанных случаев не являлся реальной уязвимостью. Проверка этих материалов заняла у него «значительное время» и, по-видимому, стала последней каплей, побудившей разработчика закрыть программу вознаграждений.
В своём сообщении он выразил надежду, что отмена программы позволит отфильтровать тех участников, которые присылают некачественные и поверхностные отчёты, в том числе сгенерированные искусственным интеллектом.
«Текущий поток отчётов создаёт существенную нагрузку на команду безопасности curl, и это [закрытие Bug Bounty] — попытка снизить уровень фонового шума», — пояснил Стенберг.
По данным на начало 2024 года, когда Стенберг впервые публично раскритиковал практику отправки ИИ-сгенерированных отчётов, общая сумма выплат по программе багбаунти превысила $70 тыс. К маю 2025 года эта сумма достигла $86 тыс.
Как отметил руководитель проекта, из 415 отчётов об уязвимостях в cURL, полученных к началу 2024 года, 64 содержали описание проблем безопасности, которые впоследствии были подтверждены, а ещё 77 включали полезную информацию о ошибках, не оказывавших прямого влияния на безопасность использования утилиты.
Остальная часть — примерно две трети от общего числа предоставленных — оказалась абсолютно непригодной. Однако каждая из них потребовала ручного анализа, на что разработчикам пришлось затратить немало времени. При этом многие авторы подобных отчетов об ошибках успешно автоматизировали и ускорили их создание с помощью инструментов генеративного искусственного интеллекта.
Современные крупные языковые модели могут по запросу и без участия человека формировать детализированные описания проблем, а данные в них иногда выглядят вполне убедительно, хотя зачастую являются результатом «галлюцинаций» нейросети. Стенберг в своё время раскритиковал такой метод выявления уязвимостей в программном обеспечении, но согласился, что ИИ-инструменты могут быть полезны в этом процессе, если человек сохраняет контроль и участие.
cURL включает в себя две ключевые части. Исходный код библиотеки libcurl, которая реализует основную функциональность, а также оболочка curl — являются открытыми, распространяются на условиях лицензии curl (основанной на лицензии MIT), размещены на платформе для ИТ-проектов GitHub компании Microsoft и развиваются силами сообщества.
Утилита cURL поставляется в составе macOS, многих дистрибутивов Linux, а с апреля 2018 года также входит в операционные системы семейства Microsoft Windows.
Создателем и главным разработчиком curl выступает шведский программист Даниэль Стенберг, который занимается развитием этого инструмента с 1996 года.
