- Curl、偽造およびAI生成の脆弱性報告を受け、HackerOneのバグバウンティを終了
- 開発者は、報奨金が悪用を招き、無効な投稿が殺到してセキュリティチームが圧倒されたと説明
- 2026年2月から、バグ報告は金銭的報酬なしでGitHubへ移行
オープンソースのコマンドラインツールおよびソフトウェアライブラリであるcurlの開発者は、偽の問題や脆弱性が大量に押し寄せているため、HackerOneのバグバウンティプログラムを終了させます。
GitHubで公開された新たな告知によると、このプログラムは2026年1月末で終了するとのことです。
「2026年1月末まではcurlのバグバウンティがありました。もうありません」と文書には記されています。「curlプロジェクトは、報告されたバグや脆弱性に対して、もはやいかなる報酬も提供しません。また、curlの問題について他の情報源からそのような報酬を得るために、セキュリティ研究者を支援することもありません。」
セキュリティチームへの負荷
続いて文書は、どうやら本来の目的を果たさなかったというバグバウンティプログラムの現状を説明しています。
「私たちは苦い経験から、バグバウンティは人々に過度に強いインセンティブを与え、悪意をもって『問題』を探したり捏造したりすることにつながり、過負荷と悪用を招くという結論に至りました。それでも、正当な脆弱性報告には感謝し、その価値を認めています。」
curlの創設者でありリード開発者のDaniel Stenbergの発言を引用し、BleepingComputerは、問題の原因は「研究者」が生成AI(GenAI)を使って「AIの粗悪な」報告を作成していることだと報じました。
同メディアによれば、Stenbergは最近フォロワーにメールを送り、こうした質の低い報告がセキュリティチームにどのような悪影響を与えているかを説明したといいます。
「週の始まりに、16時間の間にHackerOneの案件を7件受け取りました。そのうちいくつかは本物で適切なバグであり、これらに対処するのにはかなり時間がかかりました。最終的に、どれも脆弱性を特定したものではないと結論づけ、そして2026年に入ってすでに20件の投稿があったと数えています」とStenbergは述べました。
「バウンティを停止する主な目的は、いい加減で十分に調査されていない報告を私たちに送るインセンティブを取り除くことです。AI生成かどうかは問いません。現在の投稿の奔流はcurlのセキュリティチームに大きな負荷をかけており、これはノイズを減らすための試みです。」
2026年2月以降、すべてのバグ報告はGitHubを通じて直接行われ、報酬は支払われません。
