オープンソースの主要なネットワークツールであるcURLプロジェクトは、低品質のAI生成レポートの洪水が小規模チームを圧倒したため、脆弱性報奨金プログラムを終了する。創設者のDaniel Stenbergは、猛攻の中でメンテナの精神的健康を守る必要性を挙げた。この決定は2026年1月末に発効する。
オープンソースプロジェクトcURLの創設者兼リード開発者のDaniel Stenbergは、2026年1月22日に、大規模言語モデル(LLM)によって生成された低品質の提出物の大量流入により、チームがバグバウンティプログラムを終了すると発表した。cURLは30年前にhttpgetとして、後にurlgetとして最初にリリースされ、ファイル転送、Webトラブルシューティング、自動化に不可欠なツールであり、Windows、macOS、およびほとんどのLinuxディストリビューションに統合されている。Stenbergは声明で理由を説明した:「我々は少人数のアクティブメンテナしかいない小さな単一のオープンソースプロジェクトだ。これらすべての人々と彼らのスロップマシンの動作を変える力はない。我々の生存と精神的な健康を確保するための措置を取る必要がある。」彼は低品質レポートの結果を警告し、「クソレポートで時間を無駄にしたら、あなたをBANし、公に嘲笑する」と述べた。この変更はcURLのGitHubリポジトリの更新で正式化され、月末に有効となる。ユーザーは、この措置がAIの誤用という根本原因ではなく症状に対処し、cURLのセキュリティを損なう可能性があると懸念を表明した。Stenbergは問題を認めつつ、チームの選択肢が限られていると指摘した。2025年5月、彼はすでに問題を指摘していた:「AIスロップは今日すでにメンテナを圧倒しており、curlで止まらず、そこから始まるだけだ。」偽レポートの例には、LLMの幻覚、コンパイルできないコードスニペットや捏造された変更ログが含まれる。一例として、メンテナが報告者に「あなたはLLMの幻覚の犠牲者だと思います」と返答した。Stenbergは「AIに騙されて信じたのです」と付け加えた。StenbergはすべてのAI使用に反対しているわけではなく、2025年9月には研究者のJoshua RogersがZeroPathなどのAIツールで発見した「大量のバグリスト」を提出し、22件の修正につながったことを称賛した。しかし、検証なしのカジュアルなAI依存を批判し、そのような思慮深い適用は稀だと示唆した。この事態は、AI生成コンテンツの増加の中でオープンソースセキュリティの広範な課題を示すものだ。
