Curl ending bug bounty program after flood of AI slop reports

2 minute de lecture

Mis à jour : January 22, 2026

Fin du programme de primes aux chercheurs en sécurité pour Curl face à une vague de soumissions de mauvaise qualité

Le projet Curl, connu pour son utilitaire en ligne de commande et sa bibliothèque permettant le transfert de données via divers protocoles, met un terme à son programme de primes aux chercheurs en sécurité via HackerOne à la fin du mois de janvier 2026. Cette décision fait suite à une augmentation significative des soumissions de rapports de vulnérabilités de faible qualité, dont une grande partie semble être générée par des intelligences artificielles.

Le développeur principal, Daniel Stenberg, a expliqué que ces rapports “d’IA slop” (contenu généré par IA de faible effort) surchargent l’équipe de sécurité de Curl, qui est composée de ressources limitées. L’objectif de cette mesure est de réduire le volume de bruit et de se concentrer sur les contributions réellement utiles.

À partir du 1er février 2026, les soumissions via HackerOne ne seront plus acceptées. Les chercheurs devront signaler les problèmes de sécurité directement via GitHub. Les rapports en cours de traitement à la date limite seront finalisés. La documentation de sécurité du projet, y compris le fichier security.txt, sera mise à jour pour refléter cette nouvelle politique, avertissant que les soumissions de mauvaise qualité pourraient entraîner un bannissement et une moquerie publique.

Points Clés :

Le programme de primes aux chercheurs en sécurité de Curl sur HackerOne se termine le 31 janvier 2026.
La raison principale est le volume excessif de rapports de faible qualité, souvent générés par IA.
Les rapports non sollicités et peu recherchés ont surchargé l’équipe de sécurité.
Curl souhaite ainsi réduire le bruit et se concentrer sur les vulnérabilités réelles.
À partir du 1er février 2026, les rapports devront être soumis directement via GitHub.
Le projet ne fournira plus de compensation financière pour les vulnérabilités découvertes.

Vulnérabilités :

Aucune vulnérabilité spécifique avec un identifiant CVE n’est détaillée dans cet article. L’article traite de la méthodologie de signalement des vulnérabilités plutôt que de vulnérabilités techniques spécifiques.

Recommandations :

Les chercheurs en sécurité souhaitant signaler des vulnérabilités pour Curl devront le faire directement via GitHub à partir du 1er février 2026.
Il est conseillé de soumettre des rapports bien documentés et pertinents pour éviter le bannissement.
Le projet Curl ne fournira plus de compensation financière pour les vulnérabilités découvertes.

Source

Partager sur

Bluesky Facebook LinkedIn X (formerly Twitter)

Yoan AGOSTINI

Curl ending bug bounty program after flood of AI slop reports

Partager sur

Vous pourriez aimer

UAT-10027 Targets U.S. Education and Healthcare with Dohdoor Backdoor

Campagne de cyberattaque : Dohdoor cible les secteurs de l’éducation et de la santé aux États-Unis

Trend Micro warns of critical Apex One code execution flaws

ThreatsDay Bulletin: Kali Linux + Claude, Chrome Crash Traps, WinRAR Flaws, LockBit & 15+ Stories

Tendances Récentes en Cybersécurité : Accélération des Attaques et Nouvelles Méthodes d’Infiltration

The CLAIR Model: A Synthesized Conceptual Framework for Mapping Critical Infrastructure Interdependencies [Guest Diary], (Wed, Feb 25th)