Curl stopt wegens het groeiend aantal door AI gegenereerde bugmeldingen vanaf eind januari met het eigen bugbountyprogramma, waarbij onderzoekers worden beloond voor het melden van kwetsbaarheden in de software. Curl is een veelgebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen.

Curl-maintainer Daniel Stenberg uitte de afgelopen jaren herhaaldelijk kritiek op mensen die AI gebruikten om bugmeldingen te genereren, in de hoop zo een beloning te krijgen. Vorig jaar besloot Curl al om mensen van het bugbountyprogramma te weren die AI-gegenereerde bugmeldingen indienden. Sindsdien moet iedereen die een bugmelding voor Curl indient eerst laten weten of er gebruik is gemaakt van AI. "We worden eigenlijk gewoon ge'ddos't", zo stelde de maintainer destijds.

"AI-slop en slechte rapporten in het algemeen nemen alleen maar toe, dus moeten we het tij keren om niet te verdrinken", zegt Stenberg tegen het Zweedse Etn.se. De Curl-maintainer hoopt dat deze beslissing de prikkel van mensen wegneemt om "rotzooi" op te sturen. "We zijn al veel te veel tijd kwijt aan het afhandelen van rotzooi vanwege bevindingen die niet echt, overdreven of verkeerd begrepen zijn."

De afgelopen jaren keerde Curl in totaal zo'n 100.000 dollar aan beloningen uit, voor in totaal 87 bugmeldingen. In vergelijking met veel andere bugbountyprogramma's is dit een zeer laag bedrag. Bugmeldingen voor Curl worden dan ook vooral om de roem gedaan, aldus beveiligingsonderzoeker Joshua Rogers tegenover Etn. Stenberg laat via Mastodon weten dat hij volgende week met meer details over de reden komt om het bugbountyprogramma te stoppen.