Содержание
Главное, чтобы это не стало тенденцией
Один из самых известных open-source проектов в мире — cURL — прекращает выплаты bug bounty.
Причина звучит непривычно, но показательно для 2026 года: проект захлебнулся в ИИ-сгенерированных отчетах об уязвимостях, подавляющее большинство которых оказалось бесполезным просто шумом.
«Смерть от тысячи слопов»
Мейнтейнер cURL Дэниел Стенберг еще в прошлом году описал ситуацию формулой Death by a thousand slops. ИИ-инструменты сделали подачу баг-репортов дешевой и массовой. Но от того глупой и зачастую пустой.
По его словам, разбор таких отчетов отнимает огромное количество времени. Поэтому с конца января cURL полностью отключает денежные вознаграждения за найденные уязвимости.
За все время существования программы было выплачено около $101 000 за 87 отчетов. Сумма скромная, но достаточная, чтобы создать неправильные стимулы у любителей халявы.
Не весь ИИ — мусор, но проверять приходится все
Важный момент: Стенберг подчеркивает, что ИИ-помощь сама по себе не зло. Он знает более сотни полезных баг-репортов, где ИИ действительно помог найти реальные проблемы.
Проблема в другом: чтобы понять, хороший отчет или бессмысленный, мейнтейнеру все равно нужно вручную разбираться в коде. И когда «мусорных» отчетов становится на порядки больше, проект платит за это своим временем и выгоранием.
Неожиданный союзник: охотник за уязвимостями
Любопытно, что решение cURL поддержал известный исследователь безопасности Джошуа Роджерс, который сам активно использует ИИ для поиска багов. Правда, он делает это успешно.
При этом есть ключевое отличие его от тех, из-за кого cURL свою программу сворачивает — Роджерс не отправляет отчеты вслепую. ИИ для него — инструмент анализа, а не автоматический генератор тикетов.
По его мнению, отключение выплат — давно назревший шаг:
Деньги — не главный стимул
Роджерс также считает, что исчезновение наград не приведет к катастрофе. Для серьезных исследователей главная награда — репутация, а не $5000 – $10 000.
При этом он признает перекос: для людей из бедных регионов даже небольшая выплата может быть значимой. Но ценность самой уязвимости для проекта от этого не меняется — а вот нагрузка на разработчиков растет одинаково.