Daniel Stenberg, creatore e maintainer di cURL, ha ufficialmente chiuso il programma bug bounty a fine gennaio 2026, rimuovendo ogni riferimento dal repository GitHub tramite una pull request dedicata. La motivazione è chiara: il numero crescente di report generati dall’intelligenza artificiale ha reso impossibile gestire il flusso di segnalazioni in modo sostenibile. Stenberg ha spiegato che il progetto non offrirà più ricompense per bug o vulnerabilità e non supporterà più ricercatori che cercano premi tramite piattaforme esterne.
Nel solo arco di una settimana, il programma ha ricevuto sette segnalazioni, alcune delle quali individuavano bug reali, ma nessuna descriveva vulnerabilità concrete, costringendo i maintainer a investire molto tempo per verificarle una per una. Questo lavoro di triage, spesso inutile, ha sottratto energie preziose allo sviluppo effettivo del progetto.
L’impatto dell’AI slop sul lavoro dei maintainer
Il termine “AI slop”, ormai diffuso nella community, indica quel rumore di fondo generato da strumenti di intelligenza artificiale che producono testi plausibili ma tecnicamente errati. Stenberg ha ritenuto necessario eliminare l’incentivo economico che spingeva alcuni utenti a inviare segnalazioni superficiali o inventate, nella speranza di ottenere una ricompensa. La presenza di questi report ha rallentato il lavoro del team, che già opera in gran parte su base volontaria.
E’ giusto anche ricordare che Stenberg aveva iniziato a lamentarsi dei report generati dall’AI già nel 2024, arrivando nel 2025 a valutare seriamente la chiusura del programma. Nonostante alcuni casi positivi, in cui l’AI aveva aiutato a individuare bug reali, il bilancio complessivo è stato negativo. La quantità di segnalazioni inutili ha superato di gran lunga il numero di contributi validi, rendendo il programma più un ostacolo che un aiuto.
Un cambiamento che riflette una sfida più ampia nel software libero
Il caso cURL non è isolato. Come sottolineato da diverse testate, molti progetti open source stanno affrontando un aumento di report generati automaticamente, spesso privi di contesto tecnico o basati su analisi errate. Per un progetto delle dimensioni di cURL, utilizzato su miliardi di dispositivi in tutto il mondo, la qualità delle segnalazioni è fondamentale per mantenere un livello di sicurezza adeguato. La decisione di chiudere il bug bounty rappresenta quindi un tentativo di proteggere il tempo e le energie dei maintainer, concentrandosi su contributi realmente utili.
Fonte: TheRegister
