Что случилось
В январе 2026 года Дэниел Стенберг объявил о закрытии баг-баунти cURL на HackerOne с 1 февраля — после шести лет работы и $86 000 выплат (The Register). Причина — лавина «ИИ-слопа»: правдоподобно написанных LLM-репортов о несуществующих уязвимостях, кодовых путях, которых в cURL нет, и давно запатченных CVE.
К середине 2025-го такие заявки составляли уже 20% потока, а доля валидных упала примерно до 5%; только за первые недели 2026-го команда насчитала двадцать мусорных сабмитов (BleepingComputer). «Цель закрытия — убрать стимул присылать хлам», — написал Стенберг: уязвимости теперь принимаются только через GitHub Security Advisories, без вознаграждений (daniel.haxx.se).
Почему это важно
Опенсорс-инфраструктура попала под ИИ-DDoS особого рода: не трафиком, а когнитивной нагрузкой на мейнтейнеров. Похожие проблемы отмечали Ghostty и tldraw. Деньги, призванные привлекать исследователей, стали привлекать генераторы шума — и экономика краудсорсной безопасности сломалась.
Что это значит для вайб-кодинга
Прямой урок: не отправляй ИИ-найденные «уязвимости» без ручной верификации — ты не помогаешь, а вредишь. Если используешь агентов для секьюрити-ресёрча, репорти только то, что сам воспроизвёл: PoC, шаги, версии. Иначе твой репорт — часть проблемы, из-за которой закрываются баунти.