Proyek cURL, alat jaringan open-source utama, mengakhiri program hadiah kerentanan setelah banjir laporan berkualitas rendah buatan AI membanjiri tim kecilnya. Pendiri Daniel Stenberg menyebutkan perlunya melindungi kesehatan mental pemelihara di tengah serangan tersebut. Keputusan berlaku akhir Januari 2026.
Daniel Stenberg, pendiri dan pengembang utama proyek open-source cURL, mengumumkan pada 22 Januari 2026 bahwa tim mengakhiri program bug bounty karena banjir pengajuan berkualitas rendah, banyak yang dihasilkan oleh model bahasa besar (LLM). cURL, pertama dirilis tiga dekade lalu sebagai httpget dan kemudian urlget, adalah alat esensial untuk transfer file, pemecahan masalah web, dan otomatisasi, terintegrasi di Windows, macOS, dan sebagian besar distribusi Linux. Stenberg menjelaskan alasannya dalam pernyataan: «Kami hanya proyek open-source kecil dengan jumlah pemelihara aktif yang sedikit. Tidak di kekuasaan kami untuk mengubah cara kerja semua orang ini dan mesin sampah mereka. Kami perlu mengambil langkah untuk memastikan kelangsungan hidup dan kesehatan mental kami tetap utuh.» Ia memperingatkan bahwa laporan buruk akan menghadapi konsekuensi, menyatakan, «Kami akan memblokir Anda dan mengejek Anda secara publik jika Anda membuang waktu kami dengan laporan sampah.» Perubahan itu diformalkan dalam pembaruan repositori GitHub cURL, berlaku akhir bulan. Pengguna menyatakan kekhawatiran bahwa langkah ini mengatasi gejala bukan penyebab akar penyalahgunaan AI, yang berpotensi merusak keamanan cURL. Stenberg mengakui isu tersebut tapi mencatat pilihan terbatas bagi tim. Pada Mei 2025, ia sudah menyoroti masalahnya: «Sampah AI membanjiri pemelihara hari ini dan tidak akan berhenti di curl tapi hanya dimulai di sana.» Contoh laporan palsu termasuk halusinasi LLM, seperti cuplikan kode yang tidak bisa dikompilasi dan log perubahan palsu. Dalam satu kasus, seorang pemelihara menjawab pelapor: «Saya pikir Anda korban halusinasi LLM.» Stenberg menambahkan, «Anda ditipu oleh AI untuk mempercayainya.» Stenberg tidak menentang semua penggunaan AI; pada September 2025, ia memuji peneliti Joshua Rogers atas «daftar besar» bug yang ditemukan dengan alat AI seperti ZeroPath, menghasilkan 22 perbaikan. Namun, ia mengkritik ketergantungan kasual pada AI tanpa verifikasi, menyarankan aplikasi bijaksana seperti itu jarang. Perkembangan ini menandakan tantangan lebih luas bagi keamanan open-source di tengah maraknya konten buatan AI.
