Curl stopt met bugbountyprogramma door 'AI-slop'

De makers van de tool curl stoppen met het bugbountyprogramma door de grote stijging van het aantal rapportages die deels door AI gegenereerd zijn. Het doornemen van de rapportages kost veel tijd, terwijl er maar weinig daadwerkelijk kwetsbaarheden bevatten.

Daniel Stenberg, de hoofdontwikkelaar van curl, meldt in een commit op GitHub dat alle verwijzingen naar het bugbountyprogramma en het platform HackerOne worden verwijderd. "Het curl-project biedt geen beloningen meer voor gemelde bugs of kwetsbaarheden. We helpen beveiligingsonderzoekers ook niet om via andere bronnen beloningen te verkrijgen voor problemen met curl. We hebben op de harde manier geleerd dat een bugbountyprogramma mensen te sterk aanzet tot het vinden en verzinnen van 'problemen' te kwader trouw, wat leidt tot overbelasting en misbruik", schrijft hij.

Op Mastodon geeft Stenberg meer uitleg over het besluit. Hij zegt dat het project dit jaar twintig HackerOne-inzendingen heeft ontvangen, waarvan geen enkele een bevestigde kwetsbaarheid bevatte. Dat is volgens hem niet houdbaar: "Curl is een klein project. We kunnen niet elke dag urenlang discussiëren met mensen die geld willen voor iets wat misschien een bug is – maar vaak is het dat niet eens. Het put ons uit. Het sloopt ons."

Het besluit komt niet uit de lucht vallen. In juli 2025 beklaagde Stenberg zich al in een blogpost over de enorme hoeveelheid door AI gegenereerde bugbountyrapporten die het curl-project ontving. Hij schreef destijds dat ongeveer twintig procent van de rapporten door AI leek te zijn gegenereerd. Daarnaast kwam er een reeks meldingen van 'echte mensen' die kwalitatief eveneens minder goed zijn, waarvan de ontwikkelaars van curl vermoedden dat deze ook met behulp van AI waren gemaakt.

Curl is een veelgebruikte tool om dataoverdracht tussen verschillende protocollen mogelijk te maken en bijvoorbeeld informatie op te halen van websites via de commandline.

Vorig nieuwsartikel Volgend nieuwsartikel

Door Imre Himmelbauer

Redacteur

Feedback • 14-01-2026 21:32
51 • submitter: GertMenkel

14-01-2026 • 21:32

Submitter: GertMenkel

Lees meer

Britse politie deelde rapport met door AI gehallucineerde voetbalwedstrijd

Britse politie deelde rapport met door AI gehallucineerde voetbalwedstrijd .Geek van 14 januari 2026

Curl overweegt bugbountyprogramma aan te passen vanwege overdaad aan 'AI-slop'

Curl overweegt bugbountyprogramma aan te passen vanwege overdaad aan 'AI-slop' Nieuws van 16 juli 2025

Software development bugbounty Bugs Curl

IT-banen

Meer vacatures

Reacties (51)

51

51

31

1

0

18

Wijzig sortering

briswa 14 januari 2026 22:04

Een aantal maanden geleden heeft Daniel Stenberg hier een talk over gegeven @ FrOSCon 2025.
Bevat meer details, voorbeelden en zijn gedachtengang.

YouTube: AI slop attacks on the curl project - Daniel Stenberg

freaq 14 januari 2026 21:35

Erg zorgelijk…

Mischien een 100$ submission fee eraan hangen.

Je kan 1000$ of meer verdienen, en je krijgt de fee terug als er een probleem is,
Maar als je onzin instuurt betaal je de kosten van triage.

ComputerGekkie @freaq • 14 januari 2026 21:44

Totdat je erachter komt dat je niet "de eerste" bent en je je fee dus ook niet terugverdiend. Of wanneer de partij denkt "maar dat hebben we zelf al bedacht, dus krijg je je knaken niet".

xoniq @ComputerGekkie • 14 januari 2026 21:53

en je krijgt de fee terug als er een probleem is

Dat valt daar onder vind ik. Iemand die ook dezelfde bug gemeld heeft, kan je niks aan doen, gewoon geld terug en klaar.

Maar als je iets instuurt wat puur onzin is, 5 kantjes AI verhaal waar de kern geen bug bevat, dan heb je gewoon betaald voor de manuren.

Rob Coops @xoniq • 15 januari 2026 00:45

Dan is $100 erg weinig als je je bedenkt dat een beetje developer al snel $100 per uur vraagt voor zijn/haar services en deze developers niet echt junior developers zijn en een bug onderzoeken echt niet in een uurtje is gedaan dan is er weinig kans dat je voor de uren betaald.

De truck is dat een AI een slinger geven veel al weinig tot niets kost en je dus redelijk makkelijk een paar honderd verschillende projecten per dag kunt bekijken met een AI agent die dan een slordige bug report maakt voor een niet bestaande bug. Als je het juist hebt mooi dat is gratis geld als je het fout hebt kost het je nu niets.
Er $100 voor moeten betalen per bug report is simpel weg te veel voor de mensen die gratis geld willen verdienen met een niet door hen zelf gevonden bug. Dit zou je denk ik wel tegen kunnen houden maar een serieuze onderzoeker zal denk ik ook zich wel twee keer bedenken voor hij/zij een report betaald. Het probleem is dat zo'n onderzoeker misschien wel een bug vind maar het risico dat het lager wordt ingeschat of dat het inderdaad al gevonden en opgelost is of... Veel van de mensen die dit soort bugs echt vinden en rapporteren doen dat meer als hobby dan als werk en dus is het erg de vraag of zijn met $100 willen gokken.
Ik zou dus eerder zeggen verlaag die drempel naar $10 wat ook de AI slop zal weren maar wat het voor een echt bug report niet meer relatief veel geld is om mee te gokken. Vergeet daarbij ook niet dat lang niet iedereen in een westers land woont en $100 relatief makkelijk kan missen. Het lijk voor jouw misschien niet veel geld maar als je bijvoorbeeld een student in India bent dan is dat toch best aardig wat geld.

freaq @Rob Coops • 15 januari 2026 05:49

Ja wat het exacte nummer is is natuurlijk lastig,
Punt is dat zelfs met een kleine monteaire barriere een groot deel van de AI slop geweerd zou worden.

Maar hoe hoog dat moet zijn, ja lastig te zeggen

fenrirs @freaq • 15 januari 2026 08:09

Iets met account en progressieve beprijzing? Echte bughunters kan je belonen door de fee juist weer lager te maken

freaq @fenrirs • 15 januari 2026 08:28

Ja das geen slecht idee,
Anyways KISS is wss relevant hier, (keep it simpel stupid)
De jongens die vrij zeker zijn die zzijn niet bang 100$ of whatever bedrag neer te leggen want die submitten deze regelmatig en weten heus wel welke relevant zijn, en de 10k bounty zorgt ervoor dat een refusal ook niet echt een issue is.

Maar alle rando’s met AI denken dan iig nog wel na voor ze x neertellen.

Dus weet niet of die complexiteit nodig is,
Anyways het helemaal verwijderen van bug bounties is wel zorgelijk imho.

TheMak @freaq • 15 januari 2026 11:38

verplichten om een telefoongesprek vooraf. Dan is het allemaal in vijf minuten duidelijk

freaq @TheMak • 15 januari 2026 15:45

Dan moet je ren gesprek regelen,
Persoon die submit zit in een andere tijdzone,
Calenders overleggen

Dus nog meer werk.

Punt is de AI slop laten zelf uitselecteren,
Als jij niet zeker weet of dit een echte bug is ga je de x dollar niet betalen.

Dan komen er ineens veel minder bugs naar binnen

gintoki @freaq • 16 januari 2026 05:43

Telefoon gesprek door ai laten doen. Techniek is er.

freaq @gintoki • 16 januari 2026 06:29

Moet je ook weer maken, dat wordt gegamed,
Punt is Minder werk.

Marien84 @Rob Coops • 15 januari 2026 08:51

Het gaat er niet om dat die 100 Euro de kosten dekt.

Het gaat erom dat men dan hopelijk niet 100 AI generated 'possible bugs' instuurt.

Prince @Rob Coops • 15 januari 2026 10:49

$100 is ook niet om de developer te betalen. Dat is nu ook niet.
$100 is om de melders af te schrikken als ze niet weten wat ze doen, of om 100 bug reports door te sturen nadat een AI zegt dat dit een bug kan zijn.

Geen bug = geld kwijt
Ongekende bug = bounty
Gekende bug = geld terug

Power2All @xoniq • 14 januari 2026 22:05

Vind ik eigenlijk helemaal niet zo heel slecht idee.
Op die manier maak je een drempel voor mensen die troep inleveren.
Er wordt bij veel bedrijven vaak echt heel veel troep gegeven, ook tijdens solicitaties, waar ze een mini opdracht krijgen, en ze AI gebruiken om die taak te maken.

Luminair @Power2All • 14 januari 2026 23:43

Het nare aan dit type oplossing is dat het een barrière opwerpt voor beginners, mensen die het niet zo breed hebben, of mensen in een economie waarin zo’n drempel gewoon veel geld is. Pay-to-play werkt volgens mij zelden echt goed; je wil ook niet betalen om te solliciteren. Volgens mij moeten we dat niet willen.

wiezalditzijn @Luminair • 14 januari 2026 23:50

Bij sollicitaties zou dat geen probleem moeten zijn, dan had je niet moeten vragen om een case te maken. Take-home opdrachten vind ik een slecht teken als een bedrijf dat vraagt. Het kost onredelijk veel tijd van een sollicitant, en het enige wat je bewijst is dat je met AI coding tools snel iets in elkaar kan flansen.

Echte expertise kan je niet in 1 avondje in elkaar klussen. Via een whiteboard en ondervragen hoe je oude projecten hebt aangepakt ik veel inzichtelijker. Geeft als sollicitant ook meer inzicht in de technische kennis van je werkgever

[Reactie gewijzigd door wiezalditzijn op 14 januari 2026 23:51]

_Pussycat_ @Luminair • 15 januari 2026 03:08

We moeten dat niet willen, maar de Curl-programmeurs willen ook niet deze troep uit het riool vissen. Helemaal geen bug-bounty-programma is erg jammer, en de betaalde oplossing zou best wel eens een uitkomst kunnen zijn.

ALittleTooLate @freaq • 14 januari 2026 22:14

Ik denk dat je met een $10 fee er ook al bent. Als je AI raporten instuurd dan doe je dat waarschijnlijk in bulk.

Coolstart @ALittleTooLate • 14 januari 2026 23:35

Idd dat leek mij een easy fix. Maar:

Hij zegt dat het project dit jaar twintig HackerOne-inzendingen heeft ontvangen, waarvan geen enkele een bevestigde kwetsbaarheid bevatte. Dat is volgens hem niet houdbaar:

20? Dat zijn er zo weinig? Dan gaat €10 niet veel tegenhouden. Mss dan gewoon eerst een 10min gesprek inplannen om te kijken of de persoon in kwestie de inhoud kent. Indien dat het geval is kan het team de feiten checken.

Als je een kwetsbaarheid hebt ontdekt ben je daar doorgaans heel erg intensief met bezig. 10 rake vragen en iedereen die een rapport met AI liet maken valt door de mand.

MneoreJ @Coolstart • 14 januari 2026 23:49

Nee, ook dat duurt eigenlijk al te lang. Want die rake vragen gaan natuurlijk ook gewoon door de LLM heen en produceren vast ook weer indrukwekkende lappen tekst die op het eerste gezicht plausibel lijken. En natuurlijk krijg je mensen die bij hoog en laag volhouden dat het toch echt geen AI is en half om half eigen tekst met AI gaan afwisselen en prompts gaan masseren om de grootste "tells" eruit te halen, want er valt wat te verdienen. Als je al ziet dat mensen bereid zijn de meest onzinnige dingen aan te klikken voor beloningen van een paar cent dan is dit al helemaal kassa.

Het principe van "een gek kan meer vragen dan vele wijzen kunnen beantwoorden" gaat hier heel erg op, en er zijn gewoon niet genoeg actieve contributors om daar een dagtaak van te maken. Helemaal omdat vast niet elke contributor de kennis en kunde in huis zal hebben voor effectieve analyse van bugs, want dat is een aparte tak van sport.

Als je echt een effectieve barrière wil opwerpen dan moet je een geautomatiseerde straat hebben: jouw zogenaamde vulnerability moet in een vast formaat aangeleverd worden en moet eerst door een geautomatiseerde build heen komen met een repro van de issue. Maar zoiets is zelf al een boel werk en nog lastig te doen voor iedere mogelijke soort vulnerability ook nog, ook kritieke. Voor dingen als arbitrary code execution kun je nog iets opzetten als "het moet een van tevoren afgesproken bestand vullen met een van tevoren afgesproken content op een manier die niet mogelijk is met een standaard Curl invoke", maar lang niet alle kritieke vulnerabilities gaan neerkomen op arbitrary code. En je moet het hele proces dan ook nog eens gesloten houden, anders vraag je mensen feitelijk om werkende zero days aan te leveren nog voor de boel gepatched is.

[Reactie gewijzigd door MneoreJ op 15 januari 2026 00:08]

Coolstart @MneoreJ • 15 januari 2026 08:19

Nee, ook dat duurt eigenlijk al te lang. Want die rake vragen gaan natuurlijk ook gewoon door de LLM heen en produceren vast ook weer indrukwekkende lappen

Ik heb het over een gesprek. En blijkbaar zijn er maar 20 dossiers. Dus je kan iemand iets laten inzenden en alvorens iemand er 2 dagen op gaat werken moet de inzender in 10min met een paar korte vragen duiding geven. Dan valt iemand die alles door een LLM heeft laten maken zo dor de mand.

oVRoM @Coolstart • 15 januari 2026 12:14

Het zijn 20 reports dit jaar. 2026. Dus twee per werkdag. We hebben het nier over een multinational die hier gewoon een team stagiairs op kan zetten, dit zijn open source contributors die echt niet een uur per dag kunnen gaan inplannen om intake gesprekken te gaan voeren met iedereen als dit jaar al 100% daarvan gewoon onzin is.

Coolstart @oVRoM • 15 januari 2026 12:22

Ja maar het punt is toch dat mensen die misbruik maken dat intake gesprek niet gaan inplannen. En als je dan uw team aan het werk zet dan is het tenminste voor een goede zaak.

oVRoM @Coolstart • 15 januari 2026 12:31

Fair, het zal zeker een afschrikkend effect hebben, maar ik denk dat er nog steeds te veel mensen zijn die geld ruiken en het er toch op gokken (bijvoorbeeld omdat ze bij dat gesprek er ook eventueel met AI hulp wel doorheen komen, of omdat ze de output van de AI wel begrijpen, het heeft alleen niets met de curl code te maken). Dit zijn tenslotte niet mensen die dit super goed doordacht hebben, ik denk dat veel echt wel geloven dat de AI een bug heeft gevonden.
Plus natuurlijk het effect op mensen die echt bugs hebben gevonden maar toch ook weer geen zin hebben om een intake gesprek te gaan voeren, taalbarrières, etc.

jabwd @Coolstart • 15 januari 2026 04:03

Maar dit is in principe wat ze al doen, het is gewoon teveel tijd en energie aan niks, en hackerone werkt totaal niet mee.

Hier heb je een lijstje, en kan je direct zien hoe irritant het is omdat je moet schakelen van waar je mee bezig bent (even niet vergeten dat Daniel best trots is op hun snelheid van het oplossen/reageren van security issues) en dan moet uitvogelen dat je weer met z'n gast te maken hebt die niet snapt dat een LLM een bullshit generator 9000 is.

https://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d1cd

ZinloosGeweldig @Coolstart • 15 januari 2026 10:44

We zitten nog niet eens 20 dagen in 2026 he. Dat is er dus meer dan 1 per dag.

djlead @freaq • 14 januari 2026 21:38

Klinkt best realistisch en zal wellicht initieel best het nodige tegen kunnen houden

webhalla @djlead • 15 januari 2026 11:48

Of je checkt de reputatie van de melder op https://www.openbugbounty.org/

downtime @freaq • 14 januari 2026 21:44

Ik weet nu al wat voor overloze discussies dat oplevert over "diefstal" bij mensen die een bevinding opsturen die door het team wordt afgekeurd. Het team wil nu juist van die discussies af en geld vragen zou het alleen maar erger maken.

gorgi_19 @freaq • 14 januari 2026 21:59

Als er echte vulnerabilities zijn, dan willen ze ze nog steeds hebben. Ze hebben niet voor niets de link aangepast naar

https://github.com/curl/curl/security/advisories

De bug bounty trok alleen het verkeerde publiek aan, en de kosten overschreden de baten. Ze zijn te veel tijd en geld bezig aan standaard foutieve reports, en te weinig echte reports kregen ze binnen.

Zonder de beloning, hopen ze dat de problemen nog steeds binnenkomen. Het valt ook niet uit te sluiten dat als er een serieus iets is, ze alsnog een beloning willen geven, maar dat zal op case-per-case basis zijn en nu hopelijk geen verkeerde mensen aantrekken.

player-x @freaq • 15 januari 2026 06:53

Nou, $100 vind ik wel veel, maar $25~50 is al een redelijke drempel voor AI-slop.
Daarnaast een white-list hanteren voor bekende white-hat-hackers en beveiligingsonderzoekers.

En zoals het er nu uit ziet, is het een groeiend probleem, dat misschien die white-list industrie wijd gehanteerd en ondersteund kan worden, met een review score van het aangeleverde bug/lek probleem en omschrijving.

En daar ook een leaderboard aan te hangen, met scores voor technische inzicht, omschrijving, gevaar van het probleem, hoeveelheid echte bugs, enzovoort.

De ego strijken van mensen is altijd al een goede motivator geweest om mensen dingen te laten doen, Tweakers heeft bv niet voor niets karma en Karmabadges, daarnaast staat een hoge score ook bepaald niet slecht op je CV.

Framoes @freaq • 15 januari 2026 06:59

De vraag is of dat bedrag de discussies met gebruikers en het overleg tussen personeel dekt.

Daarnaast zullen mensen standvastiger zijn als ze niks krijgen, omdat het ze nu geld heeft gekost. Dan ben je langer bezig met discussiëren.

gvanvoor @freaq • 15 januari 2026 09:25

Jaren geleden (omstreeks 2008) wou ik een bug rapporteren m.b.t. gebruik van de plugin SDK in Adobe Acrobat (de Pro versie) en daar moest je toen ook voor betalen. Als het een bug bleek te zijn kreeg je je geld terug (maar geen bounty). Dat viel toeneen stuk boven mijn budget als hobbyist...

Veel later is dan gebleken dat wat ik als een bug zag lag aan de manier waarop Acrobat (intern) werkt in combinatie met het feit dat het toen een 32-bit applicatie was.

curkey @freaq • 15 januari 2026 12:52

Idee klinkt sympathiek, maar dit is een nieuw proces waar je dus ook tijd en resources aan moet gaan koppelen, met nog wellicht een arbitrageproces er omheen in het geval er een dispuut ontstaat, etc. En dan vindt iemand vervolgens met AI weer een loophole in dat proces en je staat weer op vakje 1 van het bordspel.

Het probleem van deze tijden is dat het voor kwaadwillenden relatief weinig inspanning vraagt om een goedwillende organisatie compleet ondersteboven te trekken.

In feite kun je het zien als een soort van DDoS, ook zo'n parasitair fenomeen.

Martinspire 14 januari 2026 22:48

Hij zegt dat het project dit jaar twintig HackerOne-inzendingen heeft ontvangen

20 is toch niks? Of zie ik dat dan verkeerd? De titel suggereert dat ze er duizenden of nog vele malen meer hebben ontvangen.

Edit: ok, het zit dan op 2 per dag. Maar dan nog kun je de voorwaarden dermate aanpassen (bv een werkende aantoonbare image van de bug) om de boel wat minder makkelijk voor AI te maken en wat makkelijker voor jezelf.

[Reactie gewijzigd door Martinspire op 15 januari 2026 00:08]

DeBers @Martinspire • 14 januari 2026 22:51

We zijn nog niet zo lang bezig met dit jaar.

MneoreJ @Martinspire • 14 januari 2026 23:32

20 sinds 1 januari dus... Waarbij iedere melding een paar manuren kost om uit te zoeken... op ongeveer net zoveel actieve contributors. Dan heb je het al snel over meer tijd besteden aan onzin ontleden en ontkrachten dan code kloppen die het project beter maakt.

LOTG @Martinspire • 14 januari 2026 23:35

Dat is meer dan een per dag, die je moet reviewen en dan afwijzen. En dan in discussie gaan waarom het is afgewezen want er is geld in het spel.

Webgnome @Martinspire • 15 januari 2026 08:31

20 lijkt niet veel want dat zijn er 1.33333 per dag. Echter als je ziet wat voor reports er binnenkomen ( ik volg het al een tijdje) dan kost het onevenredig veel tijd om door te nemen, te weerleggen en te concluderen dat het toch echt geen bug is. En dan moet je nog met de persoon die het ingediend heeft in conclaaf om aan te tonen dat het echt niet het geval is.

Ik snap dat je als klein team daar echt niet op zit te wachten zeker als je weet dat het merendeel van die reports gewoon fake zijn. Als het merendeel nu wel goed was dan had je als team dit niet besloten. Dan had je geconcludeerd dat je werk aan de winkel hebt.

Dit is iets wat de security branch al een tijdje raakt als ik het zo mag geloven en het word alleen maar erger.

* Webgnome zit zelf niet in de security scene, ik heb het vooral vanaf de zijlein. Dus via youtube video's, github posts etc.

[Reactie gewijzigd door Webgnome op 15 januari 2026 08:32]

kodak @Martinspire • 15 januari 2026 09:36

Er zijn al voorwaarden. Het probleem van de veel bugbounty programma's is dat er geen duidelijke effectieve straf staat op waardeloze meldingen doen.

mutsje 14 januari 2026 21:49

Bij de overheid krijgt men een t-shirt en hier zijn ze enorm trots op. Waar ik werk kan je eventueel een vermelding krijgen maar geen geld.

15 januari 2026 05:03

Het viel te verwachten. Daniel Stenberg maakt op Mastodon in zijn posts al maanden gehakt van al die tijdrovende LLM-inzendingen die werkelijk helemaal nergens over gaan. Zogenoemde bug meldingen beslaan lange lappen tekst die in beginsel overtuigend klinken maar feitelijk geen enkel raakvlak hebben met de curl code. Er worden classes en functienamen genoemd die niet bestaan, het is werkelijk verschrikkelijk!

Deze onzin schaad de security wereld. 'stop the ai slop'

jellybrah 15 januari 2026 06:46

AI dat achteruitgang betekend voorbeeld xxx

Oon 15 januari 2026 08:19

Als softwaredeveloper met ~15 jaar professionele ervaring die nu al een tijdje actief bezig is met het uitproberen van AI: de kwaliteit die hier uit komt rollen is nog dusdanig slecht dat het niet kan tippen aan een junior zonder enige praktijkervaring.
Ik snap wel dat bugbountyprogramma's overspoeld worden met rotzooi.

eheijnen 14 januari 2026 21:43

AI
A blessing and a curse in one....

[Reactie gewijzigd door eheijnen op 14 januari 2026 21:44]

ffha @eheijnen • 14 januari 2026 22:46

Ik wacht nog op de blessing.

aikebah @eheijnen • 15 januari 2026 21:54

Yup... 98% assisted idiocy en 2% artificial intelligence

Smit Willen 15 januari 2026 09:51

Lekken patchen bij Microsoft lijkt nooit klaar te zijn. Als er al eentje actief misbruikt is, update ik maar snel. Hopelijk zitten ze volgende keer niet alweer in Office te rommelen…

themadone 15 januari 2026 09:59

omdenken en AI de inkomende reports eerst eens laten lezen?

Om te kunnen reageren moet je ingelogd zijn