Le développeur de cURL, un outil de réseau open source largement utilisé, a interrompu son programme de récompenses pour les vulnérabilités jeudi en raison d'une augmentation des soumissions de faible qualité, dont beaucoup sont soupçonnées d'être générées par l'intelligence artificielle. Daniel Stenberg, le fondateur et développeur principal de cURL, a cité la nécessité de protéger la santé mentale de sa petite équipe de mainteneurs comme principale raison de cette décision.

Stenberg a expliqué que l'afflux de ces soumissions "bâclées" a submergé la capacité de l'équipe à évaluer et à répondre correctement aux préoccupations de sécurité légitimes. "Nous ne sommes qu'un petit projet open source avec un petit nombre de mainteneurs actifs", a déclaré Stenberg. "Il n'est pas en notre pouvoir de changer la façon dont tous ces gens et leurs machines à cochonneries fonctionnent. Nous devons prendre des mesures pour assurer notre survie et notre santé mentale intacte."

La décision d'abandonner le programme de primes aux bogues a suscité un débat au sein de la communauté des utilisateurs de cURL. Certains utilisateurs ont exprimé leur inquiétude quant au fait que cette décision, bien que compréhensible, pourrait avoir un impact négatif sur la sécurité globale de l'outil en supprimant une incitation essentielle pour les chercheurs externes à identifier et à signaler les vulnérabilités. Cette inquiétude découle du fait que les programmes de primes aux bogues sont souvent considérés comme un moyen rentable de compléter les audits de sécurité internes, offrant un filet plus large pour détecter les failles potentielles.

Les experts en sécurité notent que l'augmentation des rapports générés par l'IA, bien que potentiellement problématique, met en évidence un défi plus large auquel sont confrontés les projets open source : la nécessité de gérer et de valider efficacement les rapports de vulnérabilité. Le Dr Alissa Johnson, chercheuse en cybersécurité au SANS Institute, a commenté que "bien que l'IA puisse être un outil utile pour identifier les vulnérabilités potentielles, il est essentiel d'avoir une supervision humaine pour filtrer les faux positifs et s'assurer que les problèmes signalés sont réellement exploitables." Le volume élevé de rapports générés par l'IA peut entraîner une fatigue d'alerte, un phénomène bien documenté dans le domaine médical, où des alarmes excessives peuvent désensibiliser les individus aux véritables urgences, retardant potentiellement les interventions critiques.

Stenberg a reconnu la validité des préoccupations concernant la sécurité, mais a souligné les ressources limitées de l'équipe. Il a en outre déclaré que l'équipe bannirait activement et ridiculiserait publiquement les personnes qui soumettent des rapports frivoles ou manifestement erronés, signalant une politique de tolérance zéro pour les soumissions qui font perdre du temps. "Nous vous bannirons et vous ridiculiserons en public si vous nous faites perdre notre temps avec des rapports de merde", a écrit Stenberg dans un message séparé.

Le projet cURL explore maintenant d'autres méthodes pour maintenir la sécurité, notamment des examens de code internes améliorés et des collaborations avec des chercheurs en sécurité de confiance. L'impact à long terme de l'arrêt du programme de primes aux bogues sur la posture de sécurité de cURL reste à voir, mais l'incident souligne la nécessité croissante pour les projets open source de s'adapter aux défis et aux opportunités présentés par l'intelligence artificielle.