qvib.pro
EN

21.01.2026 · Безопасность

cURL закрыл bug bounty из-за ИИ-мусора

Что случилось

В январе 2026 года Дэниел Стенберг объявил о закрытии баг-баунти cURL на HackerOne с 1 февраля — после шести лет работы и $86 000 выплат (The Register). Причина — лавина «ИИ-слопа»: правдоподобно написанных LLM-репортов о несуществующих уязвимостях, кодовых путях, которых в cURL нет, и давно запатченных CVE.

К середине 2025-го такие заявки составляли уже 20% потока, а доля валидных упала примерно до 5%; только за первые недели 2026-го команда насчитала двадцать мусорных сабмитов (BleepingComputer). «Цель закрытия — убрать стимул присылать хлам», — написал Стенберг: уязвимости теперь принимаются только через GitHub Security Advisories, без вознаграждений (daniel.haxx.se).

Почему это важно

Опенсорс-инфраструктура попала под ИИ-DDoS особого рода: не трафиком, а когнитивной нагрузкой на мейнтейнеров. Похожие проблемы отмечали Ghostty и tldraw. Деньги, призванные привлекать исследователей, стали привлекать генераторы шума — и экономика краудсорсной безопасности сломалась.

Что это значит для вайб-кодинга

Прямой урок: не отправляй ИИ-найденные «уязвимости» без ручной верификации — ты не помогаешь, а вредишь. Если используешь агентов для секьюрити-ресёрча, репорти только то, что сам воспроизвёл: PoC, шаги, версии. Иначе твой репорт — часть проблемы, из-за которой закрываются баунти.

Источники