人気のオープンソースデータ転送ツールcURLのメンテナーが、AI生成の投稿が大量に押し寄せ、メンテナーが評価に苦慮したことを受けて、同プロジェクトのバグバウンティプログラムを終了した。
“Curler-in-chief”のDaniel Stenbergは先週、「BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026(BUG-BOUNTY.md:2026年1月末でバグバウンティを停止)」という名前のGitHubコミットを提出した。
読者は、Stenbergが2024年初頭にAI生成のバグ報告について不満を言い始め、2025年半ばにはプロジェクトのバグバウンティプログラムを廃止することを検討していたことを覚えているかもしれない。AIの助けを借りて開発者が見つけた強力なバグ報告をいくつか受けた後、StenbergはAIが優れたバグ探索支援になり得ることを認めた。
Stenbergは、先週の時点で同プロジェクトのバグバウンティ制度に7件の提出があり、いくつかはバグを特定していたものの、脆弱性を説明したものは一つもなかったというニュースから始まるメーリングメッセージの中で、この決定について述べた。
それを見極めるのに「かなりの時間」がかかったという。
そして、バグバウンティプログラムを終了することで、「私たちに対して、くだらない、十分に調査されていない報告を送る動機を取り除ける」ことを期待すると述べた。「AI生成であろうとなかろうと。」
「現在の提出の激流はcurlセキュリティチームに大きな負荷をかけており、これはノイズを減らすための試みだ。」
Stenbergの投稿はまた、開発者が「実際のセキュリティ脆弱性…たとえ私たちが対価を支払わなくても」を引き続き報告してくれることへの期待も表明している。
「未来が教えてくれるだろう」と彼は付け加え、開発者がバグ報告を共有するかどうかだけでなく、提出物がStenbergの基準を満たさない場合に公の批判を受けるリスクを負う意思があるかどうかも明らかになるかもしれないとした。
Stenbergは、バウンティプログラムに「ばかげたAI生成の提出物」を送ってくる人々を公に晒し者にするという自身の方針を検討する投稿の一節で、自らの立場を説明した。
その一節で、彼は自分が批判した人物の一人との最近のやり取りを明かしている。
「それは私にとって有益だった。こうした人々は往々にして、ただ誤った方向に導かれた普通の人間であり、そこから実際に学び、ひょっとすると変わることさえあるのだと、思い出させてくれたからだ」と彼は書いた。
しかしStenbergは、公の場で怒りをぶちまける権利は留保した。
「もちろんこれはバランスの問題だが、私たちの時間を無駄にする者を暴き、議論し、嘲笑することは、メッセージを伝えるより良い方法の一つだという考えも、私は引き続き信じている。つまり、実際に理解しており、再現できるのでない限り、バグや脆弱性を決して報告すべきではない、ということだ。」
「それでもなおそうするのなら、私はそれをした人物をからかい、怒る権利があると信じている」と彼は付け加えつつ、場合によっては自分自身を抑える必要もあると認めた。
「その人は、たった一度の過ちを犯した十代の子どもかもしれない。そしてその後は人生を歩み、将来は素晴らしいものを作るようになるかもしれない」と彼は書いた。®
翻訳元: https://go.theregister.com/feed/www.theregister.com/2026/01/21/curl_ends_bug_bounty/
