Daniel Stenberg, fundador e principal desenvolvedor do curl, anunciou o fim da participação do projeto no programa HackerOne para recompensas por bugs. A decisão, detalhada na documentação BUG-BOUNTY.md, surge como resposta ao aumento de relatos de vulnerabilidades gerados por IA, muitos dos quais sem valor real ou até mesmo inválidos.
O impacto dos relatos gerados por IA
O programa HackerOne oferecia não apenas recompensas por bugs encontrados no curl, mas também facilitava a compensação de pesquisadores de segurança por outras instituições. No entanto, a equipe do curl enfrentou uma enxurrada de relatos de baixa qualidade, conhecidos como AI slop. Esses relatos, além de não contribuírem para a segurança do projeto, sobrecarregaram a pequena equipe, afetando até mesmo sua saúde mental.
Segundo Stenberg, em apenas 16 horas da primeira semana de janeiro, foram recebidos sete relatos, nenhum dos quais identificou uma vulnerabilidade real. Até o dia 16 de janeiro, o número já havia chegado a 20 relatos, todos sem fundamento. Essa situação tornou insustentável a manutenção do programa de recompensas por bugs.
Mudanças no processo de relatórios
A partir de 1º de fevereiro, o curl não participará mais do HackerOne ou do Internet Bug Bounty. Além disso, a plataforma HackerOne deixará de ser utilizada para relatos a partir de 31 de janeiro de 2026. Todos os relatos futuros deverão ser enviados diretamente pelo GitHub.
Stenberg também advertiu que relatos considerados lixo serão banidos e seus autores ridicularizados publicamente. Essa medida visa desincentivar o envio de relatos falsos ou gerados por IA, garantindo que apenas vulnerabilidades reais sejam analisadas.
O que é o curl e sua importância
O curl é uma ferramenta de linha de comando amplamente utilizada para a transferência de dados através de diversos protocolos. Sua biblioteca associada, libcurl, permite que desenvolvedores integrem funcionalidades de transferência de arquivos em seus aplicativos. Essa ferramenta é essencial para a conexão de sites e outras aplicações que dependem de transferência de dados.
Conclusão
A decisão de encerrar as recompensas por bugs reflete a necessidade de preservar a qualidade e a eficiência do trabalho da equipe do curl. Com a crescente automação de relatos por IA, torna-se crucial estabelecer medidas que garantam a seriedade e a relevância das vulnerabilidades reportadas. A mudança, embora drástica, busca proteger a integridade do projeto e a saúde mental de seus desenvolvedores.