Curl encerra programa de recompensas após relatórios gerados por IA
O projeto curl, famoso utilitário de linha de comando usado em milhões de sistemas para transferir dados via diversos protocolos, anunciou o encerramento de seu programa de bug bounty na plataforma HackerOne. A decisão, publicada pelo desenvolvedor e fundador Daniel Stenberg, vem após uma enxurrada de relatórios automáticos gerados por inteligência artificial — chamados de AI slop — que prejudicaram o andamento de investigações relevantes de segurança.
Tabela de conteúdos
Fim do programa de recompensas no HackerOne
Desde 2019, o programa de recompensas por vulnerabilidades do curl funcionava em parceria com o HackerOne e o Internet Bug Bounty, recompensando pesquisadores que relatassem falhas de segurança em curl e libcurl de forma responsável. No entanto, segundo Stenberg, o aumento de “relatórios inflados por IA” tornou inviável manter a operação.
No arquivo BUG-BOUNTY.md, a equipe já removeu todas as menções ao programa do HackerOne. O documento será atualizado para informar que não haverá mais recompensas ou apoio na obtenção de compensações financeiras de terceiros.
Problemas causados por relatórios gerados por IA
Em mensagem à sua lista de e-mails, Daniel Stenberg explicou que a equipe de segurança recebeu dezenas de relatórios sem valor técnico — muitos deles aparentemente criados com o auxílio de ferramentas de IA generativa. O termo AI slop tem sido usado para descrever esse tipo de conteúdo: textos e análises automáticas que “soam” competentes, mas não trazem descobertas reais.
“O objetivo principal ao encerrar o programa é eliminar o incentivo para enviar relatórios inúteis e sem pesquisa adequada. Gerados por IA ou não, esse volume exagerado está sobrecarregando nossa equipe”, disse Stenberg.
Daniel Stenberg, fundador do curl
De acordo com o desenvolvedor, o número de submissões cresceu significativamente em 2025, ultrapassando o dobro do registrado em anos anteriores. O problema não afeta apenas o curl: outras iniciativas de código aberto hospedadas no HackerOne também vêm relatando o mesmo fenômeno.
Transição para relatórios diretos via GitHub
Stenberg confirmou que o encerramento no HackerOne ocorre em etapas. O sistema continuará aceitando relatórios até 31 de janeiro de 2026, mas a partir de 1º de fevereiro, o projeto passará a receber notificações diretamente por meio de seu repositório no GitHub. Essa mudança, segundo ele, ajudará a reduzir o ruído e concentrar esforços em vulnerabilidades reais.
O novo arquivo security.txt do projeto deixará claro que não haverá compensação financeira para quem relatar falhas, e adverte: “envios de lixo serão proibidos e ridicularizados publicamente”. Essa linguagem irônica, típica de Stenberg, reflete a exaustão de desenvolvedores independentes ao lidar com o volume crescente de conteúdo criado automaticamente.
O impacto do “AI slop” na segurança de código aberto
O caso reacende o debate sobre o uso de IA em processos de segurança. Apesar de as ferramentas de análise automatizada poderem ajudar na detecção de vulnerabilidades, muitas vezes são usadas de forma inadequada, gerando falsos positivos e desperdiçando recursos humanos. A situação é ainda mais crítica em projetos de código aberto, que contam com equipes reduzidas e voluntárias.
De acordo com o próprio Stenberg em publicação no Mastodon, o volume de relatórios submetidos ao programa de recompensas do curl em 2025 teve um aumento muito mais acentuado que o de outros projetos com base similar. Isso sugere uma concentração maior de uso de IA para relatar supostas falhas.
O desenvolvedor alerta que, embora a IA tenha potencial para apoiar revisões de código e auditorias, o uso irresponsável da tecnologia pode minar a confiança entre pesquisadores e mantenedores, comprometendo a segurança de todo o ecossistema.
O que muda para os pesquisadores e usuários do curl
Com o fim do bug bounty, pesquisadores ainda poderão enviar relatórios de vulnerabilidade, mas sem expectativa de recompensa financeira. A mudança não significa, porém, que o projeto deixará de priorizar a segurança — Stenberg reforçou que falhas genuínas continuarão sendo analisadas com a mesma seriedade.
Para desenvolvedores que utilizam a biblioteca libcurl, nada muda em termos de funcionalidade. A versão estável continua disponível e com manutenção ativa. Contudo, a equipe pede mais discernimento ao relatar falhas e contribuições melhor fundamentadas.
Perguntas Frequentes sobre curl encerrou o programa de recompensas
Por que o curl encerrou o programa de recompensas?
O encerramento foi motivado pelo alto volume de relatórios gerados por IA com baixa qualidade, que consumiam tempo e recursos da equipe sem resultados concretos.
Ainda é possível relatar vulnerabilidades no projeto curl?
Sim. A partir de fevereiro de 2026, os relatórios devem ser enviados diretamente via GitHub, sem necessidade de usar o HackerOne.
Haverá pagamento ou recompensa por novos relatórios?
Não. O projeto suspendeu todas as formas de recompensa financeira associadas ao envio de vulnerabilidades, mesmo para falhas legítimas.
O encerramento afeta a segurança dos usuários do curl?
Não diretamente. O time continuará analisando falhas reais, mas com foco em qualidade e não em volume de relatórios.
Considerações finais
O encerramento do programa de recompensas do curl marca um ponto de reflexão sobre o equilíbrio entre automação e responsabilidade em segurança digital. A decisão de Daniel Stenberg levanta uma discussão mais ampla sobre o papel da IA generativa nas práticas de cibersegurança, especialmente quando o volume de dados ultrapassa a capacidade de análise humana. O futuro da segurança colaborativa em projetos de código aberto dependerá cada vez mais da credibilidade e ética dos pesquisadores envolvidos.
