Le projet cURL, outil réseau open source clé, met fin à son programme de récompenses pour vulnérabilités après une avalanche de rapports de faible qualité générés par IA qui a submergé son équipe réduite. Le fondateur Daniel Stenberg a invoqué la nécessité de protéger la santé mentale des mainteneurs face à l'assaut. La décision prend effet fin janvier 2026.
Daniel Stenberg, fondateur et développeur principal du projet open source cURL, a annoncé le 22 janvier 2026 que l'équipe met un terme à son programme de bug bounty en raison d'un afflux de soumissions de qualité médiocre, beaucoup produites par des modèles de langage large (LLM). cURL, sorti il y a trois décennies comme httpget puis urlget, est un outil essentiel pour les transferts de fichiers, le dépannage web et l'automatisation, intégré à Windows, macOS et la plupart des distributions Linux. Stenberg a expliqué la raison dans une déclaration : « Nous ne sommes qu'un petit projet open source avec un nombre restreint de mainteneurs actifs. Il n'est pas en notre pouvoir de changer la façon dont toutes ces personnes et leurs machines à vomi fonctionnent. Nous devons prendre des mesures pour assurer notre survie et notre santé mentale intacte. » Il a averti que les mauvais rapports auraient des conséquences, déclarant : « Nous vous bannirons et vous ridiculiserons publiquement si vous nous faites perdre notre temps avec des rapports pourris. » Le changement a été formalisé dans une mise à jour du dépôt GitHub de cURL, effective fin du mois. Les utilisateurs ont exprimé des inquiétudes selon lesquelles cette mesure traite les symptômes plutôt que la cause racine de l'usage abusif de l'IA, risquant de compromettre la sécurité de cURL. Stenberg a reconnu le problème mais noté des options limitées pour l'équipe. En mai 2025, il avait déjà mis en lumière le problème : « Le vomi IA submerge les mainteneurs aujourd'hui et ne s'arrêtera pas à curl mais commence là. » Des exemples de rapports bidons incluent des hallucinations LLM, comme des extraits de code non compilables et des historiques de changements fabriqués. Dans un cas, un mainteneur a répondu à un rapporteur : « Je pense que vous êtes victime d'une hallucination LLM. » Stenberg a ajouté : « Vous avez été trompé par une IA pour y croire. » Stenberg n'est pas opposé à tout usage de l'IA ; en septembre 2025, il a loué le chercheur Joshua Rogers pour avoir soumis une « liste massive » de bugs trouvés avec des outils IA comme ZeroPath, menant à 22 correctifs. Cependant, il a critiqué la dépendance nonchalante à l'IA sans vérification, suggérant que de telles applications réfléchies sont rares. Ce développement signale des défis plus larges pour la sécurité open source au milieu de la montée du contenu généré par IA.
