Создатель Curl рассматривает отмену наград за обнаружение уязвимостей из-за наплыва некачественных отчетов, сгенерированных ИИ.

Даниэль Стенберг (Daniel Stenberg), создатель утилиты `curl`, рассматривает возможность прекращения программы вознаграждения за обнаружение уязвимостей (bug bounty) из-за резкого увеличения количества низкокачественных отчетов, сгенерированных искусственным интеллектом (ИИ), которые перегружают небольшую команду волонтеров. Несмотря на попытки отговорить от использования ИИ при подаче отчетов, сейчас они составляют около 20% всех заявок в 2025 году, в то время как количество реальных уязвимостей снизилось до 5%. Как сообщает The Register, Стенберг написал в своем блоге: "Общая тенденция в 2025 году – это значительно больше отчетов, сгенерированных ИИ, чем когда-либо прежде (около 20% от всех заявок). В среднем мы получаем около двух отчетов о безопасности в неделю". Он также отметил, что к началу июля лишь около 5% заявок в 2025 году оказались реальными уязвимостями, что значительно снижает эффективность программы по сравнению с предыдущими годами.

Эта ситуация заставила Стенберга пересмотреть целесообразность продолжения программы вознаграждения за обнаружение уязвимостей `curl`, которая, по его словам, выплатила более 90 000 долларов США в виде 81 награды с момента ее запуска в 2019 году. Он ожидает, что остаток года потратит на обдумывание возможных мер реагирования на растущий поток отчетов, сгенерированных ИИ. В настоящее время программа вознаграждения за обнаружение уязвимостей `curl`, передаваемая на аутсорсинг компании HackerOne, требует от заявителя раскрывать использование генеративного ИИ. Полный запрет на использование ИИ не введен, но не рекомендуется. "Вам следует тщательно проверять все факты и утверждения, полученные от ИИ, прежде чем отправлять такие отчеты", – гласит политика программы. "Обычно вам лучше вообще избегать использования ИИ".

Два отчета в неделю в среднем могут показаться небольшим количеством, но команда безопасности `curl` состоит всего из семи человек. Как объясняет Стенберг, каждый отчет проверяют три-четыре эксперта, на что уходит от 30 минут до трех часов. "Я и так трачу огромное количество времени на `curl`, и потеря трех часов все равно оставляет время для других дел", – сетует Стенберг. "Однако мои коллеги не работают над `curl` полный рабочий день. У них может быть всего три часа в неделю на `curl`. Не говоря уже об эмоциональном истощении, которое вызывает работа с этим бессмысленным бредом".

Стенберг не уверен, что компания HackerOne может предпринять для снижения небрежного использования ИИ, но настаивает на том, что что-то необходимо сделать. В своем блоге он размышляет о возможности введения платы за подачу отчета или отмены награды за обнаружение уязвимостей, выражая при этом опасения по поводу обоих возможных решений. "Поскольку многие из этих заявителей, кажется, искренне полагают, что помогают, очевидно, обманутые маркетингом машин ИИ, не факт, что удаление денег из уравнения полностью остановит этот поток", – заключает он.