Curl sospende programma bug bounty per abuso intelligenza artificiale, esperti sicurezza software analizzano rischi responsabilità futura

Indice dei Contenuti:

Curl ha chiuso il suo bug bounty: tutta colpa dell’AI

Bug bounty sotto assedio

Il programma di ricompense di curl su HackerOne, attivo dal 2019, è stato smantellato dopo anni di servizio alla sicurezza dell’ecosistema open source. La decisione è emersa da una modifica al file BUG-BOUNTY.md nel repository su GitHub, che rimuove ogni riferimento ai pagamenti per chi scopre vulnerabilità. Al centro, un problema ormai sistemico: l’ondata di segnalazioni generate o gonfiate dall’intelligenza artificiale generativa.

SCONTOBestseller n. 1

Apple iPhone 15 (128 GB) - nero

719,00 € −21% 569,00 €

Acquista su Amazon

SCONTOBestseller n. 2

Apple iPhone 16e 128 GB: progettato per Apple Intelligence, con chip A18, un’autonomia grandiosa,...

729,00 € −20% 581,02 €

Acquista su Amazon

 

LEGGI ANCHE ▷  Crea il tuo feed di notizie personalizzato per aggiornamenti sempre freschi e su misura

Nel giro di sedici ore, una singola settimana ha portato sette report, poi saliti a venti nel 2026, senza che nessuno individuasse un difetto reale. Ogni submission ha richiesto tempo, verifiche, analisi di codice, prosciugando energie di un team di sicurezza ridotto. Il bug bounty, da strumento per incentivare la ricerca responsabile, è diventato un magnete per “ricompense facili” alimentate da output automatici.

Il fondatore e maintainer principale, Daniel Stenberg, ha descritto pubblicamente questo fenomeno come un rischio strutturale per la sostenibilità del progetto. Troppi report inutili, troppo poco valore, troppa pressione psicologica sui volontari che governano un’infrastruttura critica usata ovunque, dai sistemi embedded alle piattaforme cloud.

Effetto dell’AI slop sulla sicurezza

Dietro la scelta c’è la crescita esplosiva di ciò che Stenberg definisce “AI slop”: contenuti generati da modelli linguistici che sembrano tecnici e coerenti, ma non derivano da analisi reale del codice. Questi report, spesso infarciti di terminologia di cybersicurezza, non sono riproducibili e non indicano un percorso concreto di exploit. Il risultato è un sovraccarico cognitivo per chi deve distinguere, uno per uno, i segnali veri dal rumore.

I dati condivisi da Stenberg su Mastodon mostrano un’impennata delle submission per curl nel 2025 rispetto ad altri progetti su HackerOne, segno che la combinazione tra notorietà del software e premi economici attira submitter poco qualificati. In un contesto dove i maintainer sono pochi, questo differenziale diventa ingestibile e mina la salute mentale del team.

Stenberg non demonizza l’uso dell’intelligenza artificiale in sé: in passato ha riconosciuto il valore di segnalazioni supportate da strumenti AI, purché chi le invia sappia spiegare, riprodurre e dimostrare la vulnerabilità. Il problema non è la tecnologia, ma il suo impiego come scorciatoia per fare volume.

Dopo HackerOne, cosa cambia per curl

Il progetto ha fissato una transizione ordinata: tutte le segnalazioni già aperte su HackerOne saranno gestite fino al 31 gennaio 2026. Dal 1° febbraio in avanti, nuove vulnerabilità dovranno essere inviate esclusivamente tramite GitHub, senza ricompense economiche né assistenza per broker o piattaforme intermedie. Il messaggio è chiaro: conta il merito tecnico, non il premio.

Il file security.txt di curl è stato aggiornato per scoraggiare attivamente i report inutili, avvertendo di possibili ban e persino di una forma di “gogna” pubblica per i casi più eclatanti. È un segnale forte alla community di ricercatori: chi contribuisce seriamente sarà ascoltato, chi cerca di sfruttare l’AI per “spammare” report verrà escluso.

Stenberg ha annunciato un post di approfondimento sul proprio blog, con l’obiettivo di spiegare la strategia a lungo termine e di mantenere un canale aperto con i ricercatori più affidabili. La chiusura del bug bounty non è un arretramento sulla sicurezza, ma un tentativo di difendere il tempo e l’equilibrio dei maintainer davanti a un ecosistema trasformato dall’AI generativa.

FAQ

D: Perché il programma di bug bounty è stato chiuso?
R: Per l’eccesso di segnalazioni inutili o errate, spesso generate con l’aiuto dell’intelligenza artificiale, che sovraccaricavano il team di sicurezza.

D: Chi ha annunciato la decisione?
R: La scelta è stata comunicata da Daniel Stenberg, fondatore e lead developer di curl, tramite mailing list e repository su GitHub.

D: Che cosa si intende per “AI slop”?
R: È un termine usato da Stenberg per descrivere contenuti generati da AI apparentemente plausibili ma privi di reale valore tecnico o verificabilità.

D: Le segnalazioni su HackerOne vengono accettate ancora?
R: Solo quelle già aperte, che saranno lavorate fino al 31 gennaio 2026; dopo quella data non saranno più gestite nuove submission sulla piattaforma.

D: Come si potranno segnalare vulnerabilità in futuro?
R: Le nuove segnalazioni dovranno passare tramite le issue e i canali ufficiali di sicurezza sul repository GitHub del progetto.

D: Sono previsti ancora premi in denaro?
R: No, con la chiusura del programma su HackerOne non sono più previste ricompense economiche legate alle vulnerabilità scoperte.

D: L’intelligenza artificiale è bandita dall’analisi di sicurezza?
R: No, Stenberg riconosce l’utilità dell’AI, ma chiede che chi invia i report comprenda davvero il problema e sappia dimostrarlo in modo concreto.

D: Qual è la fonte giornalistica originale della notizia?
R: La vicenda è stata riportata inizialmente in ambito tech da articoli specializzati che citano direttamente dichiarazioni di Daniel Stenberg e i commit pubblici sul repository GitHub di curl.