cURL-projektet, ett nyckelverktyg för öppen källkod inom nätverk, avslutar sitt program för belöningar vid sårbarheter efter en lavin av lågkvalitativa, AI-genererade rapporter som överväldigat den lilla teamet. Grundaren Daniel Stenberg nämnde behovet av att skydda maintainerernas mentala hälsa mitt i anfallet. Beslutet träder i kraft i slutet av januari 2026.
Daniel Stenberg, grundare och huvudutvecklare för det öppna källkodsprojektet cURL, meddelade den 22 januari 2026 att teamet avslutar sitt bug bounty-program på grund av ett inflöde av understandardiserade inlämningar, många producerade av stora språkmodeller (LLM). cURL, som först släpptes för tre decennier sedan som httpget och senare urlget, är ett väsentligt verktyg för filöverföringar, felsökning av webben och automatisering, integrerat i Windows, macOS och de flesta Linux-distributioner. Stenberg förklarade resonemanget i ett uttalande: «Vi är bara ett litet enskilt öppet källkodsprojekt med ett litet antal aktiva maintainrar. Det ligger inte i vår makt att ändra hur alla dessa personer och deras slopmaskiner fungerar. Vi behöver vidta åtgärder för att säkerställa vår överlevnad och intakta mentala hälsa.» Han varnade för att dåliga rapporter skulle få konsekvenser och sade: «Vi kommer att banna dig och hånskratta åt dig offentligt om du slösar vår tid på skitrapport.» Förändringen formaliserades i en uppdatering av cURL:s GitHub-repository, giltig från månadens slut. Användare uttryckte oro för att åtgärden behandlar symtom snarare än grundorsaken till AI-missbruk, vilket potentiellt undergräver cURL:s säkerhet. Stenberg erkände problemet men noterade begränsade alternativ för teamet. Redan i maj 2025 hade han lyft fram problemet: «AI-slop överväldigar maintainrar idag och det slutar inte vid curl utan börjar där.» Exempel på falska rapporter inkluderar LLM-hallusinationer, som kodsnuttar som inte kompilerar och fabricerade changeloggar. I ett fall svarade en maintainer en rapportör: «Jag tror att du är offer för LLM-hallusination.» Stenberg tillade: «Du lurades av en AI att tro det.» Stenberg är inte emot all AI-användning; i september 2025 prisade han forskaren Joshua Rogers för att ha skickat en «massiv lista» med buggar hittade med AI-verktyg som ZeroPath, vilket ledde till 22 fixar. Han kritiserade dock slarvig beroende av AI utan verifiering och antydde att sådana genomtänkta tillämpningar är sällsynta. Denna utveckling signalerar bredare utmaningar för öppen källkodsäkerhet mitt i den ökande AI-genererade innehållet.
