- Curl encerra recompensa de bug do HackerOne devido a relatórios de vulnerabilidade falsos e gerados por IA
- Os desenvolvedores dizem que os incentivos levaram ao abuso, sobrecarregando a equipe de segurança com envios inválidos
- A partir de fevereiro de 2026, relatórios de bugs são transferidos para o GitHub sem recompensas financeiras
Os desenvolvedores do curl, o código aberto ferramenta de linha de comando e biblioteca de software, estão eliminando seu programa de recompensas de bugs HackerOne porque estão sendo inundados com problemas e vulnerabilidades falsos.
Em um novo comunicado publicado no GitHub, foi dito que o programa será encerrado no final de janeiro de 2026.
“Até o final de janeiro de 2026 havia uma recompensa pelo bug curl. Não existe mais”, diz o documento. “O projeto curl não oferece mais recompensas por bugs ou vulnerabilidades relatadas. Também não ajudamos pesquisadores de segurança a obter tais recompensas por problemas curl de outras fontes.”
Sobrecarregando a equipe de segurança
O documento então descreve o estado do programa de recompensas por bugs que, aparentemente, não serviu ao seu propósito:
“Concluímos da maneira mais difícil que uma recompensa por bugs dá às pessoas incentivos muito fortes para encontrar e inventar “problemas” de má-fé que causam sobrecarga e abuso. Ainda apreciamos e valorizamos relatórios de vulnerabilidade válidos.”
Citando o fundador e desenvolvedor líder do curl, Daniel Stenberg, BipandoComputador relataram que o problema é que “pesquisadores” estão usando Inteligência Artificial Generativa (GenAI) para criar relatórios de “resíduos de IA”.
A mesma fonte diz que Stenberg enviou recentemente um e-mail a seus seguidores, explicando como esses relatórios ruins estão prejudicando a equipe de segurança:
“Começamos a semana recebendo sete problemas do HackerOne em um período de dezesseis horas. Alguns deles eram bugs verdadeiros e adequados e cuidar desse lote demorou um bom tempo. Eventualmente concluímos que nenhum deles identificou uma vulnerabilidade e agora contamos vinte envios já feitos em 2026”, disse Stenberg.
“O principal objetivo de encerrar a recompensa é remover o incentivo para as pessoas enviarem relatórios ruins e não bem pesquisados para nós. IA gerada ou não. A atual torrente de envios sobrecarrega a equipe de segurança do curl e esta é uma tentativa de reduzir o ruído.”
A partir de fevereiro de 2026, todos os relatórios de bugs passarão diretamente pelo GitHub e não serão pagos.
O melhor antivírus para todos os orçamentos
Siga o TechRadar no Google Notícias e adicione-nos como fonte preferencial para receber notícias, análises e opiniões de especialistas em seus feeds. Certifique-se de clicar no botão Seguir!
E é claro que você também pode Siga o TechRadar no TikTok para notícias, análises, unboxings em formato de vídeo e receba atualizações regulares nossas em WhatsApp também.