Curl stopt opnieuw maand lang met bugbounty's vanwege overdaad aan AI-slop

Curl gaat opnieuw een maand stoppen met zijn bugbountyprogramma. De makers van de tool namen eerder dit jaar al tijdelijk geen kwetsbaarheidsrapportages aan vanwege het grote aantal AI-gegenereerde berichten. Later ging het programma in beperkte vorm weer van start. Door deze zomerstop verschijnt de nieuwe versie van curl ook pas later.

Curl-hoofdontwikkelaar Daniel Stenberg noemt het gekscherend de 'summer of bliss'. De zomerstop betekent in de praktijk dat curl tussen 1 juli en 3 augustus geen bugmeldingen meer kan en wil ontvangen. Het invulformulier op HackerOne gaat dan tijdelijk dicht. Ook checken de ontwikkelaars het e-mailadres voor beveiligingslekken niet in die periode. Stenberg zegt dat curl toch al geen bugmeldingen via e-mail behandelde.

Door de tijdelijke stop komt de volgende versie van curl ook pas later uit. Curl 8.22.0 zou in augustus verschijnen, maar dat gebeurt nu pas op 2 september.

AI-slopmeldingen

De reden voor de zomerstop is dat curl wordt bedolven onder de bugmeldingen. Curl is een veelgebruikte tool voor de commandline, waarmee het mogelijk is om zaken zoals software te downloaden. Hoewel vrijwel alle distro's het programma gebruiken, houden slechts een handvol maintainers het bij.

Die maintainers kunnen de stroom aan bugmeldingen die geheel of gedeeltelijk met AI zijn gemaakt niet meer aan. "We hebben rust nodig. We verwachten niet dat deze stortvloed snel stopt", zegt Stenberg.

Het is niet voor het eerst dat curl stopt met het bugbountyprogramma vanwege AI-meldingen. In januari gebeurde dat al tijdelijk. Later startte curl het weer op, maar securityonderzoekers krijgen geen beloningen meer – buiten een bedankje op de wall of fame. Tweakers schreef eerder dit jaar een achtergrondartikel over hoe AI-slop de ontwikkeling van opensourcesoftware in de weg zit.

AI slop
Een AI-gegenereerde afbeelding over een AI-probleem

Door Tijs Hofmans

Nieuwscoördinator

15-06-2026 • 14:58

49

Submitter: Bioman

Reacties (49)

Sorteer op:

Weergave:

Ehm, wat er in het artikel staat klopt toch niet echt:
  1. Curl heeft geen bugbounty programma meer. Dat staat nota bene in het artikel zelf: er wordt geen vergoeding meer gegeven. Curl stopt in de maand juli tijdelijk met het hun complete security-programma, dus ze nemen geen security-reports meer aan, en verwerken deze ook niet meer.
  2. Daniel Stenberg heeft de afgelopen maanden aangegeven dat het geen AI-slop meer is, de rapporten zijn meestal wel met/door AI gemaakt, maar slop is het niet. Het probleem waar het curl-team nu tegenaan loopt is het de hoeveelheid beveilingsmeldingen: ze hebben er met meerdere mensen bijna fulltime werk aan om alles te beoordelen, en waar nodig te patchen. Dat is waarom ze nu een maand vakantie nemen.
Kan dat? Ik vind van wel:
  1. (bijna) niemand heeft ergens recht op, want (bijna) niemand betaalt voor curl. Dus (bijna) niemand heeft hier verder iets van te vinden. Het zijn vrijwilligers. Dit is natuurlijk de belangrijkste reden waarom Daniel die maand vakantie bekend maakt: curl is waarschijnlijk het meest gebruikte stukje software ter wereld (en daarbuiten want ze gebruiken het ook in Marslanders e.d.). Maar bijna niemand betaalt ervoor, zelfs niet de miljardenbedrijven die het gebruiken. Veel geld is er niet nodig, maar iets meer zodat er wat meer mensen fulltime aan kunnen werken wel.
  2. Er vanuit gaande dat mensen die de moeite nemen op een beveiligingsprobleem te melden zich aan normale "responsible disclosure" richtlijnen houden, is 30 dagen vakantie geen enkel probleem, want de normale maximale behandeltermijn is meestal 90 dagen.
  3. Er zijn uberhaupt geen grote problemen te verwachten. Daniel en het curl-team hebben de zaken enorm goed op orde. Zelfs het magische Mythos vond maar 1 klein probleem. En ja, al die andere AI rapporten leveren wel wat bevindingen op, maar niks met high of critical beoordeling, dus geen dingen die out-of-bands-updates nodig hebben.

[Reactie gewijzigd door Moartn op 15 juni 2026 15:58]

En niet te vergeten. Als bedrijven betaald hebben voor commercial support dan zullen ze de reports wel aannemen. Dus als ze het echt belangrijk vinden dan moeten ze maar een support contract afnemen wat ik heel redelijk vindt.
Helaas zijn het juist de groet bedrijven die geen betaalde support afnemen. Als bedrijven hun verantwoordelijkheid zouden menen dan waren er veel meer 'resources' beschikbaar om het onderhoud van curl te bekostigen.
Maar bijna niemand betaalt ervoor, zelfs niet de miljardenbedrijven die het gebruiken. Veel geld is er niet nodig, maar iets meer zodat er wat meer mensen fulltime aan kunnen werken wel.
Tsja, dat nou eenmaal de licentie die expliciet is gekozen. Dit is Open Source/Free Software. Het zo wijd gebruik is ook *omdat* het gratis isl

Dat niemand iets verschuldigd zijn werkt uiteraard ook twee kanten op.
Heb je dit ook als feedback gemeld bij de auteur?

Het kan natuurlijk toeval zijn, zo'n 'foutje'. Maar ik denk dat het voortkomt uit het feit dat veel Tweakers auteurs bijzonder negatief kijken naar AI. Door die gekleurde bril kunnen ze weinig positiefs meer zien als het om AI gaat.
Grappig, ik vind juist het omgekeerde. Misschien doen ze het dan toch beter dan ik dacht.

Alleen de term AI mag wel wat scherper: het is alsof elke telefoon, router, pc en console "computrer" wordt genoemd.

Maar ik zie binnen tweakers een aantal fans en een aantal criticasters en dat lijkt mij een mooie balans

De nuance die wordt toegevoegd aan het artikel door de comment van @Moartn is wel waardevol, (waarvoor dank)
Maar de titel klopt toch van geen kant, als Moartn gelijk heeft?

"Curl stopt opnieuw maand lang met bugbounty's vanwege overdaad aan AI-slop"

"Daniel Stenberg heeft de afgelopen maanden aangegeven dat het geen AI-slop meer is, de rapporten zijn meestal wel met/door AI gemaakt, maar slop is het niet."

Als Moartn gelijk heeft (en volgens mij heeft hij gelijk)... dan is het pure onzin wat in het Tweakers artikel staat....
Ook hier wat nuance: het was de eerste keer wel door ai-slop.

Wat tweakers hier gemist lijkt te hebben is dat dat nu niet meer zo is.

En ja: daardoor klopt de kop niet.

Maar pure onzin is het zeker niet. Ik tel 2 regels waar het nu niet accuraat is.
edit:
Ik heb een 'geachte redactie' geplaatst
En hij heeft gelijk: in de bron wordt het via 'pressure' genoemd. (Snap dat je er overheen kunt lezen). Er wordt verwezen naar een aantal blogposts die de tijdslijn uizetten met als laatste het hoge volume.

Via

https://daniel.haxx.se/blog/2026/05/26/the-pressure/

Naar

https://daniel.haxx.se/blog/2026/04/22/high-quality-chaos/

[Reactie gewijzigd door milos op 16 juni 2026 08:41]

Ik begrijp het niet helemaal.

Die bugreports die nu worden gesumbit, zijn die onzin? Of zijn het er nu zoveel dat de ontwikkelaars het niet meer aankunnen? Als in; is de huidige code eigenlijk helemaal niet zo goed?
Vorig jaar bestonden de security reports vooral uit slop. Ergens rond januari lijkt er een omslag plaats te hebben gevonden, en zijn de reports van betere kwaliteit. Het aantal CVE's is dan ook erg hoog dit jaar, vergeleken met afgelopen jaren. Dat zegt nog niks over de ernst van de gevonden issues (ze lijken allemaal low/medium severity te zijn).

Wat nu dus speelt is dat de hoeveelheid meldingen alleen maar harder is toegenomen; het gaat nu ongeveer 2x zo hard als vorig jaar. Het probleem is dus vooral de toegenomen werkdruk, want elke melding vereist tijd en aandacht.

De code is nog steeds van hoge kwaliteit - de kwetsbaarheden zijn niet heel ernstig - maar foutjes zitten er altijd in. Curl is ook niet uitontwikkeld; er worden actief features toegevoegd, voor bijv. moderne netwerkprotocollen. Er zullen dus ook altijd wel fouten gemaakt blijven worden.
Tipje - wat ik een goede bron vind voor het bijhouden welke exploits er gevonden zijn (mn met AI) en hoe deze werken: https://www.youtube.com/@LowLevelTV
Niet te lang, maar wel inhoudelijk.
De auteur van curl heeft er meerdere malen over geschreven, maar ja: de bug reports kloppen vaak niet, de mensen die ze insturen (of de bots waar ze mee praten) ontkennen dat ze AI gebruiken en erkennen niet dat ze fouten hebben gemaakt wanneer het in elkaar geslopte rapport niet blijkt te kloppen. De hoeveelheid tijd en moeite die in dit soort meldingen van opportunistische bounty-zoekers kwijt is geraakt, heeft eerst het bug-bountyprogramma kapot gemaakt en dat heeft de stroom nog niet doen stoppen.

Tot nu toe heeft AI een paar securitybugs gevonden, en dat was toen de auteur zelf curl door Mythos heen haalde. De rest is de afgelopen tijd allemaal handgevonden. Het aantal securitybugs ligt sowieso heel laag in curl, de testsuite en code zijn uitstekend voor een programma geschreven in een programmeertaal die geheugenproblemen makkelijk veroorzaakt zonder detectie.

Daarnaast mag de maintainer natuurlijk ook gewoon een maandje met vakantie, als je écht bugfixes nodig hebt, is er een betaald programma waar je aan mee kunt doen.

[Reactie gewijzigd door GertMenkel op 15 juni 2026 15:10]

Volgens mij kan je de meeste bugreports tegenwoordig gewoon in OpenAI Codex, Claude Code of GitHub Copilot gooien met de opdracht deze te verifiëren. Ja, dat kost ook moeite maar kan geautomatiseerd worden. Sterker nog, op GitHub (gebruikt door curl) kan je actions configureren om exact dat te doen.
Is dat niet een beetje een slager die z'n eigen vlees keurt? Een AI laten beoordelen of een AI bug-report klopt?
Zo klinkt het wel maar zo is het niet. Sowieso is AI, soort van, onpartijdig. Het heeft geen ego of zo. En er zijn forse kwaliteitsverschillen. Als je met Claude Opus 4.8, of Fable 5 zodra dat weer mag van Trump, zaken nakijkt worden er nauwelijks nog fouten gemaakt. Als de submitter dan de gratis AI van de week gebruikt heeft haal je het meeste er wel uit.
Het kan wel inzichten geven als eerste lijns als je het een beetje goed prompt. Als ze AI per definitie al kan zeggen dat het de report niet klopt; want..... Dan kan je aan die reden al snel zien of de AI het bij het juiste eind heeft als het perfect logisch is.
In mijn team hebben we het omgedraaid. Bij elke door klanten aangedragen bugreport laten we AI eerst kijken of en hoe het te reproduceren valt. Negen van de tien keer komt er iets uit dat werkbaar is. In meer dan de helft van de gevallen is de voorgestelde oplossing dat wat ze zelf ook zouden doen.
Ligt ook aan de training en instructie die je de AI geeft. Als je duidelijk maakt wanneer iets voor jouw een bepaalde categorie heeft, of er duidelijke onderbouwing bij zit, dat er gekeken moet worden of ze duidelijk hebben gemaakt hoe je het kan reproduceren en dat het reproduceren ook lukt om het daarna pas door te zetten naar een mens, filter je uiteindelijk al best veel eruit.

De AI die het aanlevert is vaak niet getrained in bepaalde zaken die voor jouw als beheerder belangrijk zijn.
De oplossing voor AI-overlast is niet nog meer AI.

AI kan nog steeds niet de waarheid vertellen en kan nog steeds fouten maken. Het probleem blijft, namelijk dat als je al die slop spam moet verifiëren, je de AI niet kan geloven dat er niet toch een stiekeme kwetsbaarheid in zit die de LLM over het hoofd ziet. Als de AI een keer een kwetsbaarheid bevestigt ben je misschien een apart minuten sneller, maar dat zou de eerste keer zijn.


Maar goed, als iemand het via AI wil oplossen voor een maandje dan is dat ook mooi natuurlijk, kwestie van forken en zelf je AI reviews opzetten. Hoef je ook geen enterpriseabonnement af te nemen.
Misschien zijn 99 van de 100 reports fout, maar het gaat mij er om dat AI waarschijnlijk best in staat is om van alle 100 de aangedragen stappen te volgen en aan de hand daarvan te bepalen of het inderdaad een valide bugclaim is of niet.

Het zou vooral zonde zijn als curl nu inderdaad een maand niks met aangedragen vulnerabilities doet terwijl ze wel open en bloot voor iedereen in te zien zijn (ze worden immers gewoon publiekelijk als Issue op GitHub gepost). Iemand die dan wel de moeite neemt om AI elke bugmelding automatisch te laten valideren, krijgt potentieel (vrijwel) gratis een zero day in handen.
Als AI de oplossing was, hadden ze al lang AI gebruikt. Ze hebben tenslotte zelf ook al met Mythos de boel onder ogen genomen, het is niet alsof de technologie ze onbekend is of dat ze een ethisch standpunt over piraterij en licenties innemen zoals andere projecten. AI is hier de bron van de overbelasting en niet de oplossing, zoals veel vaker het geval is.

Als het goed is, zet je je welbedoelde securityrapport sowieso niet zomaar op github. De meeste bedrijven hebben een coordinated disclosure tijdlijn van zo'n 90 dagen, dus als je de normale processen volgt, hebben ze nog twee maanden om te reageren willen ze net zo snel zijn als de grote, welbetaalde bedrijven.

Mocht er via criminelen een zeroday uitkomen, dan kunnen distro's die in de tussentijd zelf patchen en klanten die afhankelijk zijn van curl daarvoor betalen. De vrijwilligers nemen even vakantie.
Volgens mij is de maintained van curl vrij anti-AI. Hij maakte eerder al allerlei claims (Mythos zou niet goed zijn want van de vier aangedragen kwetsbaarheden kon er "maar" één worden gebruikt zonder root permissies of iets dergelijks) op basis van een onderbuikgevoel.

Als deze groep in dit sentiment blijft hangen en er een paar keer een zero-day tevoorschijn komt, zie ik dat mensen uiteindelijk overstappen naar een alternatief.
Het zijn reports die nergens op slaan, soms gehalucineerde dingen doen, zogenaamd iets verbeteren maar het eigenlijk verslechten etc.

Dus eigenlijks bugs oplossen die er niet zijn omdat de AI het een bug vond maar niet naar het hele plaatje kijkt etc.
Die bevatten inderdaad heel vaak onzin. Er zijn mensen die AI tools inzetten om bugs te vinden, onder meer om bug bounty rewards te krijgen, maar vaak zijn deze submissions uitgevonden, niet onderbouwd, niet te reproduceren, regelrechte rommel,.... Als ontwikkelaar moet je deze bekijken en als je dan je tijd verliest door onzin te lezen of onbestaande zaken te moeten onderzoeken, dat geeft ook geen fijn gevoel.
Het probleem is dat LLM's(ik beschouw AI niet als echt intelligent en weiger het dan ook O te noemen), je naar de mond praten. Dus als je als complete leek vraagt naar geef mij securitybugs in dat open source programma zodat ik kan cashen, dan zal er wel iets uitkomen, maar daarom is het nog geen echte, relevante bug. LLM's kunnen zeker helpen bij coderen en bugs, maar zonder eigen voorkennis ga je er weinig uithalen. Net zoals bv. iemand zonder medisch diploma geen correcte medicatie zou kunnen voorschrijven bij een ziekte.
Beide. Ze worden gewoon gebombardeerd door veel bugs die gefabriceerd zijn door AI en die absoluut geen bugs zijn.

Maar het kost natuurlijk tijd om al die bug reports te bekijken.

[Reactie gewijzigd door Kheos op 15 juni 2026 15:15]

Beetje vergelijkbaar voor spam/phishingmails, die ik ook verdenk van AI-slop. Ik analyseer en verwerk al jaren quarantaine mails af. Dit is sinds kort explosief veel meer geworden. Alleen de tekstuele inhoud is anders, maar opmaak is gewoon copy/pasta.

Ik raak hierdoor extra tijd kwijt door mails te blijven controleren om vervolgens opnieuw een bulk te ontvangen, maar met andere titel en andere inhoud.

Dan heb ik het nog niet over individuele berichten.

Voor mij is het nog heel simpel, ticket maken, actie uitvoeren (vrijgeven of verwijderen) en klaar. Dus geen bug bounty, waarbij je hele rapport en software moet doornemen, om vervolgens achter te komen “alweer AIslop”.

[Reactie gewijzigd door m.z op 15 juni 2026 15:39]

De reports die ze ontvangen zijn doorgaans erg langdradig en halen geregeld functienamen aan die simpelweg niet bestaan. Het neemt simpelweg veel kostbare tijd in beslag om al die onzin langslopen. Tijd die ze beter kunnen besteden aan het oplossen van daadwerkelijke issues en het implementeren van nieuwe issues.

Zie ook de blog, hoe Mythos een probleem vond. Als in één probleem.

Curl is simpelweg een zeer goed doorontwikkeld, 'wellicht' het beste doorontwikkelde open source project ter wereld. De kans dat iemand een ernstig lek tegenkomt is uitermate laag, natuurlijk nooit nul. Vanwege de gekozen ontwikkelmethode, 'coding standards' en uitgebreide reviewproces is het buitengewoon onwaarschijnlijk dat er daadwerkelijk opzienbare dingen naar boven komen.

De grote hoeveelheid ai-gegenereerde reports die meer dan 99% van de tijd kant noch wal raken is echt een probleem voor het team. De gegenereerde reports maken het op dit moment dus juist onveiliger. Niet omdat ai nu zoveel daadwerkelijke bugs vind, in tegendeel. Juist omdat er geen zinnige bugs naar boven komen is de kans groter dat echte bugs onopgemerkt blijven. Stel iemand rapporteert een daadwerkelijk probleem dan is de kans dat de melding ondersneeuwt op dit moment levendig aanwezig.
Vreemd dat ze niet gebruik maken van HackerOne's reputatie systeem en enkel gekende hackers toelaten.
Misschien omdat je jezelf dan in een bubbel plaatst en het iedereen die niet de hele dag bezig is met bug hunten moeilijk maakt om een probleem te melden. Het gebeurt regelmatig dat 'buitenstaanders' ernstige lekken vinden. Wil je die buitensluiten?
Met de huidige oplossing is iedereen buitengesloten.
Paar weken geleden had ik nog een gesprek met Daniel op Mastodon, want mij was niet duidelijk waarom ze nu wel weer bugs accepteren; wat er veranderd was. Hij zei dat simpelweg de LLM/AI-tools nu binnen enkele maanden zoveel beter geworden waren, dat het geen probleem meer is. Maar nu dit. Dat de tools beter worden is een gegeven, maar zo snel dat niemand nog een ouder of goedkoper model gebruikt enkele maanden later? Ik kon/kan het me bijna niet voorstellen

Zou deze stop nu ook weer zijn omdat het teveel onzin bevat, of simpelweg dat ze een vakantie nodig hebben ongeacht de ratio aan valspositieven?
De vermelding van AI-slop lijkt me hier incorrect, Daniel is er al een aantal maanden duidelijk over dat AI niet meer slop produceert maar dat ze nu meer goede vulnerabilites als ooit krijgen. Dat is dus ook het probleem, niet slop.

Ook goed om te vermelden; als je een support contract hebt kan je nogsteeds op support rekenen.

Zie ook zijn blog: https://daniel.haxx.se/blog/2026/05/26/the-pressure/

Beetje salty van mij maar: wel knap dit artikel. Langer dan de blog post van curl zelf en dan nog incorrect ook. En de discussie onder dit artikel gaat ook alleen maar over AI-slop, als resultaat.

[Reactie gewijzigd door Keipi op 15 juni 2026 15:24]

Als je dit breder trekt: dis is dus de nabije toekomst van veel IT systemen. Mythos en andere front end LLM modellen gaan sneller veel vulnerabilities vinden in alle software (niet alleen curl). Daar moet je als IT organisatie bovenop zitten om de juiste patches op tijd te installeren, en kwetsbaarheden te beperken.

Of je nou software maakt, of veel software in je organisatie gebruikt, dit wordt belangrijker dan ooit.
Niet de eerste en zal ook niet de laatste zijn.

AI-slop maakt alles wat het aanraakt eigenlijk toch wel een beetje kut.
Het is echt jammer dat een techniek met zo veel potentie vooral misbruikt wordt door een stel cowboys die snel geld willen verdienen met halfbakken generaties.
Crypto en 'het internet' toch net zo? Helemaal verziekt door winstgeilheid.
Het probleem is denk ik dat de drempel zo laag is dat iedereen het voort kan. Een bugbounty programma kan geld opleveren, en het is makkelijk zat om te bedenken voor jan en alleman dat ze met AI best een eind kunnen gaan komen.

Het _voordeel_ is dat AI ook best wel eens goede security holes kan vinden. En dat is tevens het grootste nadeel..
Ik denk dat er inderdaad wel het een en ander aan AI-slop is. Dit ligt m.i. meer aan de persoon achter de AI dan aan de AI zelf. Bij software ontwikkeling vergelijk ik AI altijd maar met een briljante junior software ontwikkelaar. Hij kan briljante software maken maar vergeet daarbij / heeft lak aan regels die horen bij gedegen software ontwikkeling. Er is toezicht nodig, bij AI dus ook. Je moet de regels / kaders stellen en daar op toezien. Letterlijk zo.
Alleen kom ik vooral in aanraking met AI, door de personen achter de AI en die indruk is dusver meestal negatief. Veelal komt vooral slop naar boven drijven.

Of het nou op Reddit is, bugbounty programma's, youtube, Microsoft of elders. Slop links, slop rechts, slop boven, slop onder, slop achter, slop voor, slop ernaast. De slop komt mij de oren uit ondertussen.

Leuk dat LLM een prachtig stukje techniek is, dat vind ik ook wel. Maar in de praktijk wordt het net zo hard verziekt als elk ander leuke stukje techniek dat ik heb mogen meemaken.
dat een innovatie niet alles perfect doet lijkt mij inherent. maar of het alles dan ook gleijk een beetje kut maakt :/ nee niet echt.
Ze hebben het bugbountyprogramma gestopt omdat ze bedolven werden door onzinrapporten. Dat valt wel een beetje kut te noemen.
ik ontken dat ook niet, maar ALLES een beetje kut maakt is niet zo.
Hij zegt ook niet dat AI alles een beetje kut maakt, maar AI-slop. Die laatste 4 letters doen het hem.

En ja, dat slop wordt gegenereerd door mensen die die bende vervolgens ergens dumpen. En de plaats waar ze het dumpen, wordt gewoon een beetje kutter door AI-slop. Hoe je het ook bekijkt, het is waar.

AI kan ook mooie dingen doen, maar dan is het geen slop meer.
Ik gebruik zelf ook AI voor redeneringen en om m'n gedachten ter discussie te stellen. Ik snap alleen niet, waarom mensen de developers torpederen met AI-slop. Wat is hierbij het nut?
In één keer 500 repositories analyseren die meedoen aan bountyprogramma's en brute-force bugs rapporteren. De meeste zullen onzin zijn, maar als je een handjevol bugs door de menselijke controle heen krijgt, maak je winst op je tokens.
Bugbounty. Dus als je een bug vindt kun je ervoor betaald worden als je het meldt.
Curl doet al een halfjaar lang niet meer aan bugbounties.

Op dit item kan niet meer gereageerd worden.