cURL termina el programa de recompensas por errores debido a la inundación de informes de baja calidad generados por IA

El mantenedor de cURL, una de las herramientas de redes más utilizadas, anunció la terminación del programa de recompensas por errores. La decisión sigue a una avalancha de informes de vulnerabilidades de baja calidad, a menudo generados por IA, que han sobrecargado al pequeño equipo de voluntarios. Daniel Stenberg, el fundador del proyecto, expresó que los recursos limitados del proyecto de código abierto no pueden sostener el volumen de presentaciones, y el programa concluirá al final del mes.

Antecedentes

cURL, originalmente lanzado bajo los nombres httpget y luego urlget, se ha convertido en una herramienta esencial para administradores, investigadores, profesionales de la seguridad y muchos otros usuarios. Está integrado en las instalaciones predeterminadas de Windows, macOS y la mayoría de las distribuciones de Linux, lo que hace que su seguridad sea una prioridad alta para una amplia audiencia.

Programa de recompensas por errores

Durante años, el proyecto cURL dependió de informes de errores privados de investigadores externos para identificar y solucionar vulnerabilidades de seguridad. Para fomentar la presentación de informes de alta calidad, el proyecto ofreció recompensas en efectivo por informes de fallos graves. Este incentivo ayudó a mantener la confiabilidad y la seguridad de la herramienta.

Cambio en la calidad de las presentaciones

En los últimos meses, ha habido un aumento dramático en el número de informes de vulnerabilidades presentados al proyecto. Una gran parte de estas presentaciones son de baja calidad y parecen ser generadas por herramientas de IA automatizadas, a menudo denominadas "basura de IA". El volumen y la mala calidad de estos informes han colocado una carga pesada sobre el pequeño grupo de mantenedores activos.

Decisión de terminar el programa

Daniel Stenberg, el fundador y desarrollador principal, explicó que el proyecto es un pequeño proyecto de código abierto con un solo mantenedor y una capacidad limitada para gestionar la afluencia de presentaciones. Declaró: "Somos solo un pequeño proyecto de código abierto con un número pequeño de mantenedores activos", enfatizando que el equipo no puede controlar cómo los contribuyentes externos generan informes. Para proteger el bienestar del equipo, Stenberg anunció que el programa de recompensas por errores se discontinuará al final del mes.

En una comunicación separada, Stenberg advirtió que las presentaciones repetidas de baja calidad podrían resultar en prohibiciones y ridiculización pública, subrayando la frustración sentida por los mantenedores.

Reacción de la comunidad

Algunos usuarios de cURL expresaron preocupación de que la terminación del programa de recompensas podría debilitar la postura de seguridad de la herramienta, argumentando que el programa abordaba los síntomas en lugar de la causa subyacente de la afluencia. Aunque reconoció estas preocupaciones, Stenberg indicó que los mantenedores tienen poca opción dadas las circunstancias actuales.

Implicaciones

La terminación del programa de recompensas por errores destaca los desafíos que enfrentan los proyectos de código abierto cuando se enfrentan a grandes volúmenes de contribuciones de baja calidad generadas por IA. También plantea preguntas sobre cómo dichos proyectos pueden sostener las pruebas de seguridad y la detección de vulnerabilidades sin incentivos externos.