Разработчикът на популярната командна линия и библиотека curl обяви, че ще прекрати програмата за сигурност (bug bounty) в HackerOne в края на януари 2026 г. Причината е наводнението от нискокачествени, често AI-генерирани доклади за уязвимости, които претоварват екипа за сигурност.
След прекратяването curl няма да предлага финансови награди за докладвани бъгове или уязвимости и няма да подпомага изследователи да получават компенсации от трети страни.
Причини за прекратяването
-
Прекомерни нискокачествени доклади: Програмата отбеляза рязко увеличение на докладите, много от които не съдържат реални уязвимости и изглеждат като AI-slop.
-
Претоварване на екипа: Обработката на множество неверни доклади натоварва малкия екип поддръжници на проекта.
-
Защита на психичното здраве на разработчиците: Даниел Стенбърг, основател и главен разработчик на curl, заявява, че решението е необходимо за оцеляването на проекта и благополучието на поддръжниците.
„Главната цел на затварянето на bug bounty програмата е да премахнем стимулите за хората да подават нискокачествени или непроверени доклади, ИИ-генерирани или не,“ пише Стенбърг.
Какво се променя
-
До 31 януари 2026 г.: Curl ще продължи да приема текущи и нови доклади през HackerOne.
-
От 1 февруари 2026 г.:
-
Няма да се приемат нови HackerOne доклади.
-
Изследователи ще трябва да съобщават проблеми директно чрез GitHub.
-
Няма да се предлага финансова компенсация.
-
Докладите с ниско качество („crap“) ще бъдат публично осъждани и изпратени на бан.
-
Новата политика е отразена и в security.txt файла на curl.
