Sztuczna inteligencja zabiła bug bounty. Twórca narzędzi Linuksa mówi dość

Projekt cURL, obecny praktycznie w każdej dystrybucji Linuksa, w macOS oraz w nowoczesnych wersjach Windowsa, oficjalnie rezygnuje z programu bug bounty. Decyzja zapadła po niemal siedmiu latach funkcjonowania systemu nagród finansowych za zgłaszanie luk bezpieczeństwa.

Powodem zamknięcia programu była narastająca liczba raportów niskiej jakości, w dużej mierze generowanych automatycznie przy użyciu narzędzi opartych na sztucznej inteligencji. Ich analiza i ręczna weryfikacja zaczęły pochłaniać nieproporcjonalnie dużo czasu zespołu odpowiedzialnego za bezpieczeństwo projektu.

cURL to narzędzie wiersza poleceń oraz biblioteka sieciowa obsługująca szeroką gamę protokołów internetowych, wykorzystywana zarówno w skryptach systemowych, jak i w aplikacjach serwerowych oraz klienckich. Skala jego zastosowania sprawia, że każdy potencjalny błąd bezpieczeństwa traktowany jest bardzo poważnie.

Decyzja ogłoszona na GitHubie

W połowie stycznia 2026 roku lider projektu Daniel Stenberg opublikował w repozytorium cURL na GitHubie wpis informujący o zakończeniu programu bug bounty z końcem stycznia. Od lutego badacze bezpieczeństwa zgłaszający podatności nie będą już mogli liczyć na finansowe nagrody.

Program działał od kwietnia 2019 roku i był obsługiwany za pośrednictwem platformy HackerOne. W tym czasie wypłacono dziesiątki tysięcy dolarów za rzeczywiste i potwierdzone błędy, które realnie poprawiły bezpieczeństwo narzędzia.

Ostatnia kropla dla twórcy projektu

Stenberg już na początku 2024 roku publicznie sygnalizował narastający problem związany z raportami generowanymi przez modele językowe. W połowie 2025 roku rozważał zakończenie programu, jednak wtedy do zespołu trafiło kilka wartościowych zgłoszeń przygotowanych z użyciem narzędzi AI w sposób przemyślany i wspierany przez człowieka.

Sytuacja zmieniła się w styczniu 2026 roku. W ciągu jednego tygodnia do programu wpłynęło siedem raportów, które po dokładnej analizie nie zawierały żadnych realnych luk. Sam proces ich sprawdzania zajął znaczną ilość czasu, co stało się impulsem do ostatecznej decyzji.

Szum informacyjny zamiast bezpieczeństwa

W swoim komentarzu Stenberg podkreślił, że obecna skala zgłoszeń generuje ogromne obciążenie dla zespołu bezpieczeństwa cURL. Zamykanie programu bug bounty ma pomóc w ograniczeniu napływu słabo przygotowanych raportów, w tym tych tworzonych masowo przez narzędzia generatywne.

Problem nie dotyczy pojedynczych pomyłek, lecz strukturalnego zalewu zgłoszeń, które na pierwszy rzut oka wyglądają wiarygodnie, ale po weryfikacji okazują się bezwartościowe. W praktyce oznacza to setki godzin pracy poświęconych na oddzielanie realnych problemów od fikcyjnych zagrożeń.

Statystyki, które nie pozostawiają złudzeń

Do początku 2024 roku deweloperzy cURL otrzymali 415 raportów dotyczących bezpieczeństwa. Z tej liczby jedynie 64 dotyczyły potwierdzonych luk, a kolejne 77 zawierało przydatne informacje o błędach niezwiązanych bezpośrednio z bezpieczeństwem. Pozostała większość zgłoszeń okazała się całkowicie bezużyteczna, mimo że każde z nich wymagało ręcznej analizy.

W tym samym czasie autorzy raportów coraz skuteczniej automatyzowali proces ich tworzenia, wykorzystując generatywną sztuczną inteligencję do masowego generowania opisów potencjalnych podatności.

AI jako narzędzie i jako problem

Nowoczesne modele językowe potrafią tworzyć rozbudowane raporty techniczne, które formalnie spełniają wymogi platform bug bounty. Problem polega na tym, że wiele z tych opisów bazuje na błędnych założeniach lub zmyślonych scenariuszach działania kodu.

Daniel Stenberg nie odrzuca całkowicie wykorzystania sztucznej inteligencji w analizie bezpieczeństwa. Wskazuje jednak, że bez nadzoru człowieka i realnego zrozumienia kodu takie narzędzia produkują głównie „halucynacje”, które utrudniają pracę zamiast ją usprawniać.

cURL składa się z biblioteki libcurl oraz narzędzia wiersza poleceń, rozwijanych jako projekt open source na licencji zbliżonej do MIT. Od lat jest integralną częścią systemów operacyjnych i infrastruktury internetowej, często działając w tle bez świadomości użytkowników końcowych.

Decyzja o zamknięciu programu bug bounty nie oznacza końca zgłaszania błędów. Projekt nadal przyjmuje raporty dotyczące bezpieczeństwa, jednak motywacja finansowa przestaje być elementem tego procesu.