Curl ontving als gevolg van AI bijna alleen nog maar fake bugmeldingen

In dit artikel:

Curl stopt eind januari met het eigen bugbountyprogramma op HackerOne nadat het project vorig jaar overspoeld werd met door AI gemaakte en lage-kwaliteit bugmeldingen. Maintainer Daniel Stenberg, verantwoordelijk voor de veelgebruikte curl-library en commandline-tool voor dataverkeer over netwerken, zegt dat de toestroom van valse rapporten zo groot werd dat valide kwetsbaarheden nauwelijks meer te vinden waren. Over de afgelopen jaren keerde Curl ongeveer 100.000 dollar uit voor 87 meldingen; waar vroeger meer dan 15% van de inzendingen echte problemen aangaf, bleek dat aandeel in 2025 onder de 5% te zijn gezakt.

Al eerder verbood Curl AI-gegenereerde meldingen en vroeg indienaars expliciet aan te geven of zij AI hadden gebruikt, maar dat hielp onvoldoende. Stenberg vermoedt dat ook goedbedoelde onderzoekers door AI zijn misleid en beklaagt zich over mensen die alleen claimen ernstige lekken te vinden zonder mee te werken aan een oplossing. De combinatie van eindeloze onbruikbare rapporten, slechter wordende kwaliteit van inzendingen en kwaadaardige praktijken leidde tot de beslissing het beloningsprogramma te beëindigen.

Achtergrond: bugbountyprogramma's belonen externe onderzoekers voor het vinden van beveiligingsfouten, maar kunnen kwetsbaar zijn voor spam of misbruik wanneer geautomatiseerde hulpmiddelen massaal worden ingezet.