Softwareproject Curl ontving vorig jaar als gevolg van AI bijna alleen nog maar fake bugmeldingen, wat uiteindelijk de reden is geworden om het bugbountyprogramma later deze week te stoppen. Curl is een veelgebruikte library en command-line tool voor het versturen en ontvangen van data via verschillende netwerkprotocollen. De afgelopen jaren keerde Curl in totaal zo'n 100.000 dollar aan beloningen uit, voor in totaal 87 bugmeldingen

Curl-maintainer Daniel Stenberg uitte de afgelopen jaren herhaaldelijk kritiek op mensen die AI gebruikten om bugmeldingen te genereren, in de hoop zo een beloning te krijgen. Vorig jaar besloot Curl al om mensen van het bugbountyprogramma te weren die AI-gegenereerde bugmeldingen indienden. Sindsdien moet iedereen die een bugmelding voor Curl indient eerst laten weten of er gebruik is gemaakt van AI. "We worden eigenlijk gewoon ge'ddos't", zo stelde de maintainer destijds.

Onlangs liet Stenberg weten dat Curl eind januari stopt met het eigen bugbountyprogramma, gehost bij het platform HackerOne. Stenberg is nu met meer details over de achterliggende beslissing gekomen. Volgens Stenberg was er vorig jaar een explosie van door AI gegenereerde bugmeldingen, maar nam ook de kwaliteit van de meldingen af die overduidelijk geen onzin waren. De Curl-maintainer vermoedt dat de mensen die deze meldingen deden ook door AI zijn misleid.

De afgelopen jaren betrof meer dan vijftien procent van de ingezonden bugmeldingen ook daadwerkelijk een kwetsbaarheid. In 2025 daalde dit tot onder de vijf procent. "Niet eens één op de twintig was echt", zegt Stenberg over de ontvangen bugmeldingen en daadwerkelijke beveiligingslekken. "De eindeloze stroom aan onzinnige inzendingen eist een zware mentale tol en het kost soms ook veel tijd om ze te ontkrachten. Tijd en energie die volledig verspild worden en onze wil om te leven ondermijnen", aldus de Curl-maintainer.

Stenberg hekelt ook onderzoekers die te kwader trouw bugmeldingen indienen met als enige doel om te beweren dat de software ernstige beveiligingslekken bevat, maar niet actief bijdragen om het probleem te verhelpen of Curl te verbeteren. "De geestdodende AI-onzin, mensen die het slechter doen dan ooit en de schijnbare wil om gaten te schieten in plaats van te helpen", zijn volgens Stenberg de drie trends waardoor Curl besloten heeft het bugbountyprogramma te beëindigen.