Curl remove recompensas por bugs devido a excesso de relatos de IA

Daniel Stenberg, fundador e principal programador da ferramenta de linha de comando curl, anunciou que o projeto não irá mais participar do programa HackerOne para recompensas pelo achado de bugs. A medida veio por conta de uma enxurrada de relatos de vulnerabilidade gerados por IA, com baixa qualidade ou mesmo não relatando bug algum (AI slop). Isso foi revelado na documentação BUG-BOUNTY.md, com commit ainda pendente ao curl.

• O que é bug? Saiba mais sobre o termo
• O que é uma vulnerabilidade de dia zero (Zero-Day)?

O programa HackerOne, além de oferecer recompensas pelo encontro de bugs na plataforma, também ajudava pesquisadores de segurança a conseguir compensação de outras instituições pelo serviço prestado. Isso também não será mais feito em relação ao projeto curl. A mudança entra em vigor no primeiro dia de fevereiro deste ano.

Reportes de bug no curl

O Canaltech está no WhatsApp!Entre no canal e acompanhe notícias e dicas de tecnologia

WhatsApp

É bom lembrar que o curl é uma ferramenta de linha de comando que permite a transferência de dados através de diversos protocolos, sendo muito usado para conexão de sites. A biblioteca associada libcurl permite que desenvolvedores incorporem o curl aos seus aplicativos para suporte à transferência de arquivos facilitada.

O programa de recompensas por bugs estava ligado ao HackerOne e o Internet Bug Bounty desde 2019, oferecendo valores financeiros a quem informava o projeto sobre vulnerabilidades percebidas. O crescimento de relatos inválidos e gerados por IA, no entanto, começou a pesar no trabalho da pequena equipe do curl, incluindo sua saúde mental, o que levou ao cancelamento do programa.

Segundo Stenberg, na primeira semana de janeiro, foram submetidos sete relatos em 16 horas, nenhum deles identificando, realmente, uma vulnerabilidade. Até o último dia 16 de janeiro, eram 20 relatos.

Com o final do incentivo financeiro, o desenvolvedor espera que o envio de relatos falsos e/ou gerados por IA pare. Só será possível enviar relatos pela plataforma HackerOne até o dia 31 de janeiro de 2026: em seguida, tudo será processado através do GitHub. No arquivo security.txt do projeto, Stenberg ainda disse que quem envia relatos “lixo” será banido e ridicularizado publicamente. Ele afirmou que irá publicar mais detalhes sobre a mudança em breve.

Confira também:

• Hackers usam IA para espalhar malware via anúncios no Android
• Vulnerabilidade em ônibus chineses é investigada por autoridades globais
• Kaspersky alerta: volta às aulas com golpe de desconto falso no material escolar

VÍDEO | O MAIOR BUG DO IPHONE! | Dicas | #shorts

Fonte: Daniel Stenberg