O projeto cURL, uma ferramenta essencial de rede open-source, está encerrando seu programa de recompensas por vulnerabilidades após uma enxurrada de relatórios de baixa qualidade gerados por IA que sobrecarregou sua pequena equipe. O fundador Daniel Stenberg citou a necessidade de proteger a saúde mental dos mantenedores em meio ao ataque. A decisão entra em vigor no final de janeiro de 2026.
Daniel Stenberg, fundador e desenvolvedor principal do projeto open-source cURL, anunciou em 22 de janeiro de 2026 que a equipe está terminando seu programa de bug bounty devido a um influxo de submissões de baixa qualidade, muitas produzidas por modelos de linguagem grandes (LLMs). cURL, lançado pela primeira vez há três décadas como httpget e depois urlget, é uma ferramenta essencial para transferências de arquivos, solução de problemas web e automação, integrado ao Windows, macOS e à maioria das distribuições Linux. Stenberg explicou o raciocínio em uma declaração: «Somos apenas um pequeno projeto open-source com um número reduzido de mantenedores ativos. Não está ao nosso alcance mudar como todas essas pessoas e suas máquinas de lixo funcionam. Precisamos tomar medidas para garantir nossa sobrevivência e saúde mental intacta.» Ele alertou que relatórios ruins enfrentariam consequências, afirmando: «Vamos bani-lo e ridicularizá-lo publicamente se você desperdiçar nosso tempo com relatórios de merda.» A mudança foi formalizada em uma atualização do repositório GitHub do cURL, efetiva no final do mês. Usuários expressaram preocupações de que a medida aborda sintomas em vez da causa raiz do mau uso da IA, potencialmente minando a segurança do cURL. Stenberg reconheceu o problema, mas observou opções limitadas para a equipe. Em maio de 2025, ele já havia destacado o problema: «O lixo gerado por IA está sobrecarregando os mantenedores hoje e não vai parar no curl, apenas começa lá.» Exemplos de relatórios falsos incluem alucinações de LLM, como trechos de código que não compilam e changelogs fabricados. Em um caso, um mantenedor respondeu a um relator: «Acho que você é vítima de alucinação de LLM.» Stenberg acrescentou: «Você foi enganado por uma IA para acreditar nisso.» Stenberg não se opõe a todo uso de IA; em setembro de 2025, elogiou o pesquisador Joshua Rogers por enviar uma «lista massiva» de bugs encontrados com ferramentas de IA como ZeroPath, levando a 22 correções. No entanto, criticou a dependência casual da IA sem verificação, sugerindo que tais aplicações pensadas são raras. Esse desenvolvimento sinaliza desafios mais amplos para a segurança open-source em meio ao aumento do conteúdo gerado por IA.
