El desarrollador de cURL, una herramienta de redes de internet ampliamente utilizada, suspendió su programa de recompensas por vulnerabilidades debido a un aumento en las presentaciones de baja calidad, muchas de las cuales se sospecha que fueron generadas por inteligencia artificial. Daniel Stenberg, fundador y desarrollador principal del proyecto de código abierto, anunció la decisión el jueves, citando la necesidad de proteger la salud mental de su pequeño equipo de mantenedores. "Somos solo un pequeño proyecto de código abierto con un pequeño número de mantenedores activos", declaró Stenberg. "No está en nuestro poder cambiar la forma en que todas estas personas y sus máquinas de basura funcionan. Necesitamos tomar medidas para asegurar nuestra supervivencia y la integridad de nuestra salud mental".

La decisión de desechar el programa de recompensas por errores siguió a un período de creciente frustración con la afluencia de lo que Stenberg denominó "basura generada por IA". Estos informes, a menudo carentes de sustancia y precisión, consumieron una cantidad significativa de tiempo y recursos del equipo de cURL, desviando la atención de preocupaciones de seguridad legítimas. La medida desató un debate dentro de la comunidad de usuarios de cURL, y algunos expresaron su preocupación de que la eliminación del programa de recompensas pudiera afectar negativamente la seguridad general de la herramienta.

Los programas de recompensas por vulnerabilidades, también conocidos como recompensas por errores, son una práctica común en la industria del software. Incentivan a los investigadores de seguridad y a los hackers éticos a identificar e informar sobre vulnerabilidades en el software, lo que permite a los desarrolladores abordar estos problemas antes de que puedan ser explotados por actores maliciosos. La eficacia de estos programas depende de la calidad de las presentaciones recibidas. Un alto volumen de informes irrelevantes o inexactos puede abrumar a los equipos de desarrollo, dificultando su capacidad para centrarse en amenazas de seguridad genuinas.

"La relación señal-ruido es fundamental en la gestión de vulnerabilidades", explicó la Dra. Alissa Johnson, experta en ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST). "Cuando los equipos se ven inundados de falsos positivos o informes de baja calidad, puede provocar agotamiento y una menor capacidad para identificar y responder a vulnerabilidades reales". La Dra. Johnson añadió que el aumento de los informes generados por IA presenta un nuevo desafío tanto para los proyectos de código abierto como para las empresas.

Stenberg reconoció los posibles inconvenientes de eliminar el programa de recompensas por errores, pero enfatizó que la situación actual era insostenible. En una publicación separada, advirtió que el equipo "los vetará y ridiculizará públicamente si nos hacen perder el tiempo con informes basura". Esto refleja la creciente frustración entre los desarrolladores que están luchando por gestionar el creciente volumen de contenido generado por IA.

Las implicaciones a largo plazo de la decisión de cURL están por verse. Si bien la medida puede aliviar la carga inmediata sobre el equipo de desarrollo, también plantea interrogantes sobre métodos alternativos para garantizar la seguridad continua de la herramienta. Algunos usuarios han sugerido explorar modelos alternativos para la notificación de vulnerabilidades, como sistemas de clasificación impulsados por la comunidad o directrices de presentación más estrictas. El equipo de cURL aún no ha anunciado ningún plan específico para la futura gestión de vulnerabilidades.