В последние годы проекты с открытым исходным кодом сталкиваются с новой угрозой - наплывом низкокачественных отчетов об уязвимостях, созданных с помощью ИИ или просто некомпетентных пользователей. Как отмечает Дэниел Штенберг, один из ведущих разработчиков curl, эта проблема достигла критического уровня и ставит под вопрос эффективность программы Bug Bounty, которая работает с 2019 года. За это время через нее было выявлено 81 реальное уязвимостей, а общая сумма выплат составила более 90 000 долларов. Однако сейчас ситуация резко ухудшилась.
Только в начале 2025 года около 20% всех отчетов об уязвимостях оказались сгенерированы искусственным интеллектом или представляли собой бесполезные "записи в пустоту". Лишь 5% присланных сообщений содержали реальные угрозы, что значительно ниже показателей прошлых лет. При этом каждая заявка требует внимания нескольких членов команды безопасности curl - в среднем от 30 минут до нескольких часов на анализ. Многие участники проекта работают над curl в свободное время, и такое количество "информационного шума" серьезно снижает их мотивацию.
Особую тревогу вызывает тот факт, что многие пользователи, отправляющие ложные отчеты, искренне верят, что помогают проекту. Они доверяют рекомендациям ИИ-систем, которые создают псевдоубедительные, но бессмысленные описания несуществующих уязвимостей. Например, среди последних заявок фигурировали сообщения о "переполнении буфера в strcpy", "уязвимостях в обработке WebSocket" или "некорректном шифровании в libcurl" - все они оказались ложными.
Платформа HackerOne, через которую работает программа Bug Bounty, пока не предоставляет эффективных инструментов для фильтрации подобных злоупотреблений. Снижение репутации пользователей или их блокировка не решают проблему, так как злоумышленники могут легко создавать новые аккаунты. Разработчики curl уже обратились к представителям HackerOne с просьбой добавить новые механизмы защиты, но пока ответа не последовало.
В сложившейся ситуации команда curl рассматривает несколько вариантов решения. Один из радикальных шагов - полный отказ от денежных вознаграждений, что может снизить мотивацию недобросовестных участников. Однако это также отпугнет и профессиональных исследователей безопасности. Другой вариант - введение платы за отправку отчета, которая будет возвращаться в случае подтверждения уязвимости. Подобный подход уже применяется в некоторых коммерческих проектах, но для открытого ПО он может оказаться слишком жестким.
Пока команда curl не готова принимать окончательные решения, но уже ясно, что текущая ситуация неприемлема. Если тенденция к росту "информационного мусора" сохранится, проект может столкнуться с кризисом безопасности, когда реальные угрозы будут теряться среди сотен бессмысленных отчетов. В ближайшие месяцы разработчики планируют проанализировать ситуацию и найти баланс между открытостью проекта и защитой от злоупотреблений.
Этот случай поднимает важный вопрос о влиянии ИИ на кибербезопасность: с одной стороны, технологии могут помогать находить уязвимости, с другой - они же порождают лавину ложных срабатываний, которые перегружают команды разработчиков. Возможно, в будущем потребуются новые стандарты и инструменты для верификации отчетов, чтобы подобные ситуации не ставили под угрозу развитие open-source проектов.
