Хакер #315. Positive Hack Days Fest 3
Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) сообщил, что из-за обилия ИИ-мусора он готов полностью ликвидировать программу bug bounty проекта. Дело в том, что он и другие мейнтейнры завалены сообщениями об ошибках, которые люди создают с помощью ИИ.
Стенберг жалуется на связанные с ИИ проблемы с начала 2024 года. И, по его словам, со временем ситуация становится только хуже.
Теперь к обычному ИИ-мусору (разработчик использует термин «AI slop», который используется для некачественного, сгенерированного ИИ контента) добавился мусор, который создают люди. Стенберг пишет, что это настолько низкокачественные материалы, что не всегда возможно определить, написал ли баг-репорт человек, использовавший ИИ, или это была некая ИИ-модель.
«Главная тенденция 2025 года — ИИ-мусора стало больше, чем когда-либо прежде (около 20% всех отчетов). А в среднем мы получаем около двух отчетов об уязвимостях в неделю, — пишет разработчик. — По состоянию на начало июля лишь порядка 5% сообщений, полученных в 2025 году, оказались настоящими уязвимостями. Показатель валидности значительно снизился по сравнению с предыдущими годами».
Сложившаяся ситуация вынудила Стенберга пересмотреть вопрос о том, стоит ли в целом поддерживать программу bug bounty для Curl. По его словам, проект выплатил более 90 000 долларов за 81 обнаруженную уязвимость с 2019 года. Стенберг пишет, что собирается провести остаток года, обдумывая возможное решение проблемы.
В настоящее время bug bounty программа Curl, переданная на аутсорсинг HackerOne, требует от автора сообщения об уязвимости уведомлять об использовании генеративного ИИ. То есть программа не запрещает использование ИИ, но и не поощряет его.
Хотя два баг-репорта в неделю не кажутся чем-то большим, проблема заключается в том, что команда безопасности Curl состоит всего из семи человек. Как объясняет Стенберг, три или четыре рецензента проверяют каждую заявку, и этот процесс занимает от 30 минут до трех часов.
«Лично я и так трачу на Curl безумное количество времени, и даже три часа, потраченные впустую, еще оставляют время для других дел, — пишет Стенберг. — Однако мои коллеги посвящают Curl все свое время. У них для проекта может быть всего три часа в неделю. Не говоря уже о том, сколько эмоциональных сил уходит на эти умопомрачительные глупости».
Разработчик отмечает, что на прошлой неделе объем ИИ-мусора в баг-репортах вырос в восемь раз по сравнению с обычным уровнем. Теперь Стенберг ведет список мусорных сообщений об уязвимостях, составленных с помощью ИИ. На данный момент в него входят 22 отчета о несуществующих багах.
Как мы уже писали ранее, в декабре 2024 года разработчик Python Сет Ларсон (Seth Larson) высказывал похожие опасения. Он заявлял, что реагировать на созданные ИИ отчеты — дорого и долго, так как на первый взгляд они кажутся обоснованными, но каждый требует тщательной проверки опытным специалистом, и зачастую выясняется, что это лишь «галлюцинации» ИИ.
В мае 2025 года с мнением коллег согласился и Бенджамин Пиуфл (Benjamin Piouffle), инженер-программист из Open Collective. Он сообщил, что Open Collective столкнулась с аналогичной проблемой ИИ-мусора.
«Возможно, в конечном итоге нам придется перейти на платформу вроде HackerOne и ограничить подачу заявок только проверенными исследователями (сейчас мы все делаем вручную), — рассказал Пиуфл. — В конечном итоге из-за этого молодым исследователям станет сложнее пробиться в индустрию».
Стенберг пишет, что пока не совсем понятно, что должны сделать представители HackerOne, чтобы уменьшить использование ИИ. Однако он настаивает на том, что необходимо что-то делать. Например, он размышляет о том, чтобы можно взимать плату за отправку отчетов об ошибках или полностью отказаться от выплат награды за уязвимости.
«Многие из авторов этих отчетов, похоже, откровенно обмануты ИИ-маркетингом и искренне думают, что помогают. Поэтому очевидно, что исключение денег из уравнения не сможет полностью остановить поток [мусорных отчетов]», — заключает Стенберг.
