概要
人気のコマンドラインユーティリティおよびライブラリであるcurlプロジェクトは、品質の低いAI生成の脆弱性レポートの氾濫に圧倒され、HackerOneを通じたセキュリティバグバウンティプログラムを今月末で終了すると発表しました。この変更は、curlのBUG-BOUNTY.mdドキュメントへの保留中のコミットで最初に発見され、HackerOneプログラムへの言及がすべて削除されます。マージ後、このファイルは、curlプロジェクトが報告されたバグや脆弱性に対して一切の報酬を提供しないこと、また第三者からの補償獲得を支援しないことを明記するよう更新されます。
Curlとそのバグバウンティプログラムの背景
curlは、さまざまなプロトコルを介してデータを転送できるコマンドラインユーティリティであり、Webサイトへの接続に最も一般的に使用されています。関連するlibcurlライブラリは、開発者がアプリケーションにcurlを組み込んで、容易なファイル転送をサポートできるようにします。2019年以来、そのバグバウンティプログラムはHackerOneおよびInternet Bug Bountyを通じて運営され、curlおよびlibcurlにおける責任ある開示されたセキュリティ脆弱性に対して現金報酬を提供してきました。
低品質レポートの問題と開発者の懸念
curlの創設者でありリード開発者であるダニエル・ステンバーグ氏は、プログラムが低労力で無効なレポートの著しい増加を経験しており、その多くはAI生成の「スロップ(無駄なコンテンツ)」であると述べています。「AIスロップ」とは、もっともらしいが実際には有用な内容を含まない、AI生成の低品質コンテンツの氾濫を指します。ステンバーグ氏は個人のメーリングリストで、これらの低品質なレポートがcurlのセキュリティチームに大きな負担をかけており、プログラムから撤退する原因になったと説明しています。彼は、2026年に入って既に20件の提出があり、そのうちの7件は16時間以内に受け取ったものでしたが、最終的にそれらのどれも脆弱性を特定するものではなかったと述べています。
ステンバーグ氏は、バウンティを停止する主な目的は、人々が「くだらない」または十分に調査されていないレポートを提出するインセンティブを取り除くことだと強調しています。AI生成か否かにかかわらず、現在の提出の洪水はcurlセキュリティチームに高い負荷をかけており、これはノイズを減らす試みであるとのことです。彼は、HackerOneからの撤退がジャンクレポートの洪水を止める保証はないものの、curlが限られた数のアクティブなメンテナーしかいない小規模なオープンソースプロジェクトであるため、その存続と開発者の精神的健康を守るためにこの行動が必要だったと述べています。ステンバーグ氏は、他のオープンソースプロジェクトと比較して、curlへのセキュリティ提出率が2025年を通じて急増したことを示すデータがあると付け加えています。
今後の対応と新たな報告プロセス
HackerOneのバグバウンティプログラムから内部提出プロセスへの移行は段階的に行われます。ステンバーグ氏によると、curlプロジェクトは2026年1月31日までHackerOneからの提出を受け付け、その時点で進行中のレポートは引き続き処理されるとのことです。2026年2月1日からは、プロジェクトはHackerOneからの新たな提出を受け付けず、代わりに研究者にはGitHubを通じてセキュリティ問題を直接報告するよう求めます。
curlの新しい方針は、最近更新されたsecurity.txtファイルにも反映されており、プロジェクトは報告された脆弱性に対して金銭的補償を提供しないこと、および「くだらない」レポートを提出した人物は公開で非難され、BANされると警告しています。ステンバーグ氏は来週、この変更についてさらに詳細を記したブログ記事を公開する予定です。