- Curl mengakhiri hadiah bug HackerOne karena laporan kerentanan palsu dan buatan AI
- Pengembang mengatakan insentif menyebabkan penyalahgunaan, sehingga membebani tim keamanan dengan kiriman yang tidak valid
- Mulai Februari 2026, laporan bug dipindahkan ke GitHub tanpa imbalan finansial
Pengembang curl, itu sumber terbuka alat baris perintah dan perpustakaan perangkat lunak, mematikan program bug bounty HackerOne mereka karena dibanjiri dengan masalah dan kerentanan palsu.
Dalam nasihat baru yang diterbitkan di GitHub, disebutkan bahwa program ini akan dihentikan pada akhir Januari 2026.
“Sampai akhir Januari 2026, ada bounty curl bug. Tidak ada lagi,” bunyi dokumen tersebut. “Proyek curl tidak lagi menawarkan imbalan apa pun atas bug atau kerentanan yang dilaporkan. Kami juga tidak membantu peneliti keamanan untuk mendapatkan imbalan atas masalah curl dari sumber lain.”
Menekan tim keamanan
Dokumen tersebut kemudian menjelaskan keadaan program bug bounty yang, tampaknya, tidak memenuhi tujuannya:
“Kami telah menyimpulkan bahwa hadiah bug memberikan insentif yang terlalu kuat kepada orang-orang untuk menemukan dan mengarang “masalah” dengan itikad buruk yang menyebabkan kelebihan muatan dan penyalahgunaan. Kami tetap menghargai dan menghargai laporan kerentanan yang valid.”
Mengutip pendiri dan pengembang utama curl, Daniel Stenberg, BleepingComputer melaporkan bahwa masalahnya adalah “peneliti” menggunakan Kecerdasan Buatan Generatif (GenAI) untuk membuat laporan “slop AI”.
Sumber yang sama mengatakan Stenberg baru-baru ini mengirim email kepada pengikutnya, menjelaskan bagaimana laporan buruk ini merugikan tim keamanan:
“Kami memulai minggu ini dengan menerima tujuh masalah HackerOne dalam jangka waktu enam belas jam. Beberapa di antaranya adalah bug yang benar dan tepat, dan penanganan masalah ini membutuhkan waktu cukup lama. Akhirnya kami menyimpulkan bahwa tidak ada satupun yang mengidentifikasi kerentanan dan kami sekarang menghitung ada dua puluh pengiriman yang sudah selesai pada tahun 2026,” kata Stenberg.
“Tujuan utama dari penutupan bounty ini adalah untuk menghilangkan insentif bagi orang-orang untuk mengirimkan laporan yang tidak benar dan tidak diteliti dengan baik kepada kami.
Mulai Februari 2026, semua laporan bug akan langsung dikirim melalui GitHub dan tidak akan dibayar.
Antivirus terbaik untuk semua anggaran
Ikuti TechRadar di Google Berita Dan tambahkan kami sebagai sumber pilihan untuk mendapatkan berita, ulasan, dan opini pakar kami di feed Anda. Pastikan untuk mengklik tombol Ikuti!
Dan tentu saja Anda juga bisa Ikuti TechRadar di TikTok untuk berita, review, unboxing dalam bentuk video, dan dapatkan update rutin dari kami Ada apa juga.
