- Curl encerra recompensa de bug do HackerOne para falsos relatórios de vulnerabilidade gerados por IA
- Os desenvolvedores dizem que os incentivos levaram ao abuso, inundando a equipe de segurança com envios inválidos
- A partir de fevereiro de 2026, os relatórios de bugs serão transferidos para o GitHub sem recompensa financeira
Os desenvolvedores do Curl, uma ferramenta de linha de comando e biblioteca de software de código aberto, estão eliminando o programa de recompensas de bugs HackerOne porque estão sendo inundados com problemas e vulnerabilidades falsos.
Em um novo comunicado postado no GitHub, o programa terminaria no final de janeiro de 2026.
“Até o final de janeiro de 2026 havia recompensa por enrolar bugs. Não existe mais”, diz o documento. “O projeto curl não oferece mais recompensas por bugs ou vulnerabilidades relatadas. Além disso, não apoiamos mais pesquisadores de segurança na obtenção de recompensas por problemas curl de outras fontes.”
Apertando a equipe de segurança
O documento então descreve o estado do programa de recompensas por bugs, que aparentemente não cumpriu seu propósito:
“Concluímos que uma recompensa por bugs dá às pessoas muito incentivo para encontrar e corrigir ‘problemas’ mal concebidos, levando à sobrecarga e ao abuso. Ainda apreciamos e valorizamos relatórios de vulnerabilidade válidos.”
Citando o fundador e desenvolvedor líder do Curl, Daniel Stenberg, BipandoComputador relatado, o problema é que “pesquisadores” estão usando Inteligência Artificial Generativa (GenAI) para gerar relatórios de “resíduos de IA”.
A mesma fonte diz que Stenberg enviou recentemente um e-mail a seus seguidores explicando como esses relatórios ruins prejudicaram a equipe de segurança:
“Começamos a receber sete problemas por semana do HackerOne em dezesseis horas. Alguns deles eram bugs verdadeiros e adequados e muitos demoravam muito para serem corrigidos. No final, concluímos que nenhum deles identificou qualquer vulnerabilidade e agora contamos vinte envios em 2026”, disse Stenberg.
“O principal objetivo do fechamento do título é remover o incentivo para as pessoas enviarem porcarias e relatórios bem pesquisados. IA gerada ou não. O fluxo atual de envios coloca um fardo enorme sobre a equipe de segurança curl e esta é uma tentativa de reduzir o ruído.”
A partir de fevereiro de 2026, todos os relatórios de bugs passarão diretamente pelo GitHub e não serão pagos.
O melhor antivírus para cada orçamento
Siga o TechRadar no Google Notícias e adicione-nos como sua fonte padrão para receber notícias, opiniões e opiniões de nossos especialistas em feeds. Certifique-se de clicar no botão Continuar!
E é claro que você também pode Siga o TechRadar no TikTok para receber notícias, análises, unboxings de vídeos e receber atualizações regulares nossas WhatsApp também
