Разработчик cURL, широко используемого инструмента для работы с сетевыми протоколами в интернете, прекратил свою программу вознаграждений за обнаружение уязвимостей из-за резкого увеличения количества некачественных заявок, многие из которых, предположительно, были сгенерированы искусственным интеллектом. Даниэль Стенберг, основатель и ведущий разработчик проекта с открытым исходным кодом, объявил об этом решении в четверг, сославшись на необходимость защиты психического здоровья своей небольшой команды мейнтейнеров. "Мы всего лишь небольшой проект с открытым исходным кодом и небольшим количеством активных мейнтейнеров", - заявил Стенберг. "Не в нашей власти изменить то, как работают все эти люди и их машины, производящие мусор. Нам нужно предпринять шаги, чтобы обеспечить наше выживание и сохранить психическое здоровье".

Решение отказаться от программы bug bounty последовало за периодом растущего разочарования из-за наплыва того, что Стенберг назвал "сгенерированным ИИ мусором". Эти отчеты, часто лишенные содержания и точности, отнимали значительное время и ресурсы у команды cURL, отвлекая внимание от реальных проблем безопасности. Этот шаг вызвал дебаты в сообществе пользователей cURL, при этом некоторые выразили обеспокоенность тем, что ликвидация программы вознаграждений может негативно повлиять на общую безопасность инструмента.

Программы вознаграждения за уязвимости, также известные как bug bounties, являются распространенной практикой в индустрии программного обеспечения. Они стимулируют исследователей безопасности и этичных хакеров выявлять и сообщать об уязвимостях в программном обеспечении, позволяя разработчикам устранять эти проблемы до того, как они будут использованы злоумышленниками. Эффективность этих программ зависит от качества получаемых заявок. Большой объем нерелевантных или неточных отчетов может перегрузить команды разработчиков, затрудняя их способность сосредоточиться на реальных угрозах безопасности.

"Соотношение сигнала и шума имеет решающее значение в управлении уязвимостями", - объяснила доктор Алисса Джонсон, эксперт по кибербезопасности из Национального института стандартов и технологий (NIST). "Когда команды перегружены ложными срабатываниями или некачественными отчетами, это может привести к выгоранию и снижению способности выявлять и реагировать на реальные уязвимости". Доктор Джонсон добавила, что рост числа отчетов, сгенерированных ИИ, представляет собой новую проблему как для проектов с открытым исходным кодом, так и для компаний.

Стенберг признал потенциальные недостатки ликвидации программы bug bounty, но подчеркнул, что нынешняя ситуация является неустойчивой. В отдельном посте он предупредил, что команда будет "банить вас и высмеивать публично, если вы тратите наше время на дерьмовые отчеты". Это отражает растущее разочарование среди разработчиков, которые изо всех сил пытаются справиться с растущим объемом контента, сгенерированного ИИ.

Долгосрочные последствия решения cURL еще предстоит увидеть. Хотя этот шаг может облегчить немедленное бремя для команды разработчиков, он также поднимает вопросы об альтернативных методах обеспечения постоянной безопасности инструмента. Некоторые пользователи предложили изучить альтернативные модели отчетности об уязвимостях, такие как системы триажа, управляемые сообществом, или более строгие правила подачи заявок. Команда cURL пока не объявила о каких-либо конкретных планах на будущее управление уязвимостями.