Le développeur de cURL, un outil de réseau internet largement utilisé, a mis fin à son programme de récompenses pour les vulnérabilités en raison d'une augmentation des soumissions de faible qualité, dont beaucoup sont soupçonnées d'être générées par l'intelligence artificielle. Daniel Stenberg, fondateur et développeur principal du projet open source, a annoncé cette décision jeudi, invoquant la nécessité de protéger la santé mentale de sa petite équipe de mainteneurs. « Nous ne sommes qu'un petit projet open source avec un petit nombre de mainteneurs actifs », a déclaré Stenberg. « Il n'est pas en notre pouvoir de changer la façon dont tous ces gens et leurs machines à "slop" fonctionnent. Nous devons prendre des mesures pour assurer notre survie et notre santé mentale intacte. »

La décision d'abandonner le programme de primes aux bogues fait suite à une période de frustration croissante face à l'afflux de ce que Stenberg a appelé du « slop généré par l'IA ». Ces rapports, souvent dépourvus de substance et de précision, ont consommé beaucoup de temps et de ressources de l'équipe cURL, détournant l'attention des problèmes de sécurité légitimes. Cette décision a suscité un débat au sein de la communauté des utilisateurs de cURL, certains craignant que l'élimination du programme de primes n'ait un impact négatif sur la sécurité globale de l'outil.

Les programmes de récompenses pour les vulnérabilités, également appelés primes aux bogues, sont une pratique courante dans l'industrie du logiciel. Ils incitent les chercheurs en sécurité et les hackers éthiques à identifier et à signaler les vulnérabilités des logiciels, ce qui permet aux développeurs de résoudre ces problèmes avant qu'ils ne soient exploités par des acteurs malveillants. L'efficacité de ces programmes dépend de la qualité des soumissions reçues. Un volume élevé de rapports non pertinents ou inexacts peut submerger les équipes de développement, entravant leur capacité à se concentrer sur les véritables menaces de sécurité.

« Le rapport signal/bruit est essentiel dans la gestion des vulnérabilités », a expliqué le Dr Alissa Johnson, experte en cybersécurité au National Institute of Standards and Technology (NIST). « Lorsque les équipes sont inondées de faux positifs ou de rapports de faible qualité, cela peut entraîner un épuisement professionnel et une diminution de la capacité à identifier et à traiter les vulnérabilités réelles. » Le Dr Johnson a ajouté que l'essor des rapports générés par l'IA représente un nouveau défi pour les projets open source et les entreprises.

Stenberg a reconnu les inconvénients potentiels de l'élimination du programme de primes aux bogues, mais a souligné que la situation actuelle était insoutenable. Dans un message distinct, il a averti que l'équipe « vous bannira et vous ridiculisera publiquement si vous nous faites perdre notre temps avec des rapports inutiles ». Cela reflète la frustration croissante des développeurs qui luttent pour gérer le volume croissant de contenu généré par l'IA.

Les implications à long terme de la décision de cURL restent à voir. Bien que cette mesure puisse alléger la charge immédiate de l'équipe de développement, elle soulève également des questions sur les méthodes alternatives pour assurer la sécurité continue de l'outil. Certains utilisateurs ont suggéré d'explorer d'autres modèles de signalement des vulnérabilités, tels que des systèmes de triage communautaires ou des directives de soumission plus strictes. L'équipe cURL n'a pas encore annoncé de plans spécifiques pour la future gestion des vulnérabilités.