TokyoBlackHatNews

bleepingcomputer.com 4分で読了

AIの粗悪レポートが殺到、curlがバグバウンティプログラムを終了へ

Image

人気のコマンドラインユーティリティおよびライブラリであるcurlの開発者は、低品質なAI生成の脆弱性報告に圧倒されたことを受け、今月末で同プロジェクトのHackerOneセキュリティ・バグバウンティプログラムを終了すると発表しました。

この変更は、curlのBUG-BOUNTY.mdドキュメントへの保留中のコミットで最初に見つかりました。そこではHackerOneプログラムへの言及がすべて削除されています。

マージされると、このファイルは、curlプロジェクトが報告されたバグや脆弱性に対していかなる報酬も提供しなくなり、第三者から研究者が補償を得るための支援もしない、という内容に更新されます。

「2026年1月末まではcurlのバグバウンティがありました。もうありません。curlプロジェクトは、報告されたバグや脆弱性に対していかなる報酬も提供しません。また、他の情報源からcurlの問題に対するそのような報酬を得るために、セキュリティ研究者を支援することもしません」 と、今後の更新には記されています。

curlは、さまざまなプロトコルでデータを転送できるコマンドラインユーティリティで、最も一般的にはWebサイトへの接続に使われます。関連するlibcurlライブラリにより、開発者はcurlをアプリケーションに組み込み、簡単にファイル転送機能を追加できます。

2019年以降、同バグバウンティプログラムはHackerOneおよびInternet Bug Bountyを通じて運営され、curlとlibcurlで責任ある開示が行われたセキュリティ脆弱性に対して現金報酬を提供してきました。

curlの創設者で主任開発者のDaniel Stenberg氏によると、このプログラムでは手間をかけない無効な報告が大幅に増えており、その多くはAIが生成した粗悪な内容に見えるといいます。

AI slop(AIの粗悪コンテンツ)とは、もっともらしく聞こえるものの、実際には有用でも生産的でもない、手間をかけないAI生成コンテンツが増え続けている状況を指します。

自身の個人メーリングリストへの最近の投稿でStenberg氏は、こうした低品質な報告がcurlのセキュリティチームに負担をかけており、その結果としてプログラムから撤退することにしたと説明しています。

「週の始まりに、16時間の間にHackeroneの案件を7件受け取りました。その中には本物の適切なバグもあり、この一群に対処するのにかなりの時間がかかりました。最終的に、どれも脆弱性を特定していないという結論に至り、2026年に入ってすでに20件の提出があったと数えています」とStenberg氏は説明しました。

「バウンティを停止する主な目的は、人々がくだらない、十分に調査されていない報告を私たちに提出するインセンティブを取り除くことです。AI生成かどうかは問いません。現在の提出の激流はcurlのセキュリティチームに高い負荷をかけており、これはノイズを減らす試みです」と投稿は続けています。

プルリクエストのコメントでStenberg氏は、HackerOneから撤退してもジャンク報告の洪水が止まらない可能性があると述べました。しかし、curlはアクティブなメンテナーの数が限られた小規模なオープンソースプロジェクトであり、その存続を確保し開発者のメンタルヘルスを守るために、この措置が必要だったとも語っています。

Stenberg氏はまた、自身がAI slopレポートだと考える例も共有し、他のオープンソースプロジェクトと比べてcurlへのセキュリティ提出が急増していると述べています。 

「私たちには、#curl のバグバウンティが2025年を通じて提出率が急増したことを裏付けるデータがあるようです。一方で、Hackerone上でホストされている他の複数のオープンソースプログラムではそうなっていません」 と、Stenberg氏はMastodonに投稿しました。

HackerOneのバグバウンティプログラムから社内の提出プロセスへの切り替えは、段階的に行われます。

Stenberg氏によると、curlプロジェクトは2026年1月31日までHackerOne経由の提出を受け付け、 その時点で進行中の報告については引き続き処理されるとのことです。

2026年2月1日からは、プロジェクトは新規のHackerOne提出を受け付けなくなり、代わりに研究者に対してGitHubを通じて直接セキュリティ問題を報告するよう求めます。

curlの新たな方針はsecurity.txtファイルの最近の更新にも反映されており、報告された脆弱性に対して金銭的補償は提供しないこと、そして「くだらない」報告を提出する人は追放され、公に嘲笑されると警告しています。

Stenberg氏 は、この今後の変更についての詳細を来週ブログ投稿で公開すると述べています。

翻訳元: https://www.bleepingcomputer.com/news/security/curl-ending-bug-bounty-program-after-flood-of-ai-slop-reports/

ソース: bleepingcomputer.com
#AI生成コンテンツ #cURL #HackerOne #libcurl #オープンソース #セキュリティ研究者 #バグバウンティ #メンテナー負担 #低品質レポート #脆弱性報告

関連記事

MicrosoftのCoreutilsプロジェクト、LinuxコマンドをWindowsにネイティブ移植

OpenAI、GPT-5.5をアップグレード——レガシーモデルの廃止計画も発表

重大なKirki脆弱性、WordPress管理者アカウント乗っ取りに悪用