Daniel Stenberg, fundador e principal programador da ferramenta de linha de comando curl, anunciou que o projeto não irá mais participar do programa HackerOne para recompensas por achados de bugs. A decisão foi tomada em resposta a um aumento significativo de relatos de vulnerabilidades gerados por inteligência artificial (IA), que apresentavam baixa qualidade ou não relatavam bugs reais.
A mudança entra em vigor em 1º de fevereiro de 2024 e foi revelada na documentação BUG-BOUNTY.md, que ainda aguarda um commit ao curl. O programa de recompensas, ativo desde 2019, oferecia valores médios de R$ 13 mil para aqueles que reportavam vulnerabilidades.
Impacto dos relatos inválidos
Stenberg destacou que, na primeira semana de janeiro, foram submetidos sete relatos inválidos em apenas 16 horas, e até 16 de janeiro, o total de relatos chegou a 20, todos sem identificar verdadeiras vulnerabilidades. Essa onda de reportes falsos começou a impactar a pequena equipe do curl, afetando também a saúde mental dos desenvolvedores.
Com o fim do programa de recompensas, Stenberg espera que o envio de relatos gerados por IA diminua. Os usuários ainda poderão enviar relatos pela plataforma HackerOne até 31 de janeiro de 2026; após essa data, todos os reportes serão processados através do GitHub.
Consequências para usuários de relatos inválidos
No arquivo security.txt do projeto, Stenberg alertou que quem enviar relatos considerados “lixo” será banido e ridicularizado publicamente. Ele também prometeu publicar mais detalhes sobre a mudança em breve.
Opinião
A decisão de Stenberg reflete um desafio crescente no mundo da segurança digital, onde a qualidade dos relatos é fundamental para a proteção de sistemas e dados.
