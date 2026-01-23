Основатель и ведущий разработчик Curl Даниэль Стенберг (Daniel Stenberg) объявил о закрытии программы bug bounty проекта на платформе HackerOne. Причиной стал неконтролируемый поток низкокачественных отчетов об уязвимостях, значительная часть которых сгенерирована с помощью ИИ.

Закрытие программы будет происходить поэтапно. До 31 января 2026 года Curl продолжит принимать сообщения об ошибках через HackerOne, и все отчеты, находящиеся в работе на эту дату, будут рассмотрены полностью. Однако с 1 февраля проект полностью откажется от приема новых заявок на HackerOne и перейдет на прямые сообщения об уязвимостях через GitHub.

Как мы уже писали ранее, Стенберг жалуется на проблемы с ИИ-слопом с 2024 года. Разработчик уже предупреждал о том, что около 20% всех отчетов генерируются с помощью ИИ, а показатель валидности сообщений значительно снизился — в прошлом году лишь 5% уязвимостей оказывались реальными. При этом команда безопасности Curl состояла всего из семи человек, и каждый отчет требовал проверки тремя-четырьмя рецензентами, а процесс в среднем занимал от 30 минут до трех часов.

Как теперь рассказал Стенберг, в январе 2026 года ситуация стала критической. Он пишет, что всего за 16 часов в начале недели команда получила семь отчетов через HackerOne, а к середине месяца обработала более 20 отчетов. Как выяснилось, ни одно из этих сообщений не было связано с реальной уязвимостью. Стенберг объясняет:

«Главная цель закрытия программы bug bounty — устранить стимул, который побуждает людей присылать нам бессмысленные и плохо проработанные отчеты. И не важно, сгенерированы они ИИ или нет. Нынешний поток заявок создает высокую нагрузку на команду безопасности Curl, и это попытка снизить информационный шум».

Разработчик признает, что уход с платформы HackerOne, вероятно, не остановит поток некачественных отчетов об ошибках полностью. Однако он подчеркивает, что Curl — небольшой опенсорсный проект с ограниченным числом активных мейнтейнеров, и такой шаг необходим для выживания проекта, а также сохранения ментального здоровья разработчиков.

Стенберг опубликовал примеры того, что он считает ИИ-слопом, а также представил данные, подтверждающие резкий рост числа сообщений об уязвимостях в Curl по сравнению с другими опенсорсными проектами на HackerOne. В Mastodon специалист пишет:

«У нас есть данные, которые подтверждают, что в 2025 году bug bounty программа Curl столкнулась с резким ростом количества отчетов, тогда как у ряда других опенсорсных проектов, также размещенных на HackerOne, подобного не наблюдалось».

В новом файле security.txt разработчики проекта четко обозначили свою позицию: Curl больше не предлагает денежного вознаграждения за найденные уязвимости и не помогает исследователям получить компенсацию от третьих лиц. Более того, подчеркивается, что те, кто присылает мусорные отчеты, будут забанены и публично высмеяны.

Bug bounty программа Curl и libcurl работала с 2019 года через HackerOne и Internet Bug Bounty. За это время ИБ-исследователям выплатили более 90 000 долларов за 81 обнаруженную уязвимость.

Подробности о грядущих изменениях Стенберг обещает опубликовать в отдельном посте на следующей неделе.