cURL met fin à son programme de bug bounty

• La bibliothèque open source cURL met fin à son programme de bug bounty afin d’endiguer la hausse des rapports de bugs absurdes générés par l’IA
• Le mainteneur Daniel Stenberg explique que la plupart des rapports produits par l’IA sont des « mensonges purs et simples », et que leur vérification prend beaucoup de temps
• cURL cessera de verser des récompenses à partir de fin janvier, après avoir déjà payé 101 020 dollars pour un total de 87 rapports
• Le chercheur en sécurité Joshua Rogers, qui a déjà soumis de vrais rapports valides à l’aide d’outils d’IA, estime que cette décision est une « mesure très judicieuse »
• Selon lui, la véritable motivation n’est pas l’argent mais la réputation et l’accomplissement technique, et d’autres projets devraient envisager des mesures similaires

Décision de cURL de mettre fin au bug bounty

• La bibliothèque de code open source cURL cesse d’offrir des récompenses financières pour les rapports de bugs
  • L’objectif est de freiner l’explosion des faux rapports générés par l’IA (AI slop)
  • Le mainteneur Daniel Stenberg déclare que « l’AI slop et les rapports inexacts continuent d’augmenter, et si nous n’arrêtons pas cette inondation, nous finirons par couler »
• cURL met fin au versement des bounties à la fin du mois de janvier
  • Il explique que « trop de temps est perdu à cause de découvertes qui n’existent pas réellement, qui sont exagérées ou mal comprises »

Problèmes et impact des rapports générés par l’IA

• cURL a récemment vu sa charge de travail fortement augmenter à cause de rapports de bugs générés automatiquement par l’IA
  • La plupart de ces rapports se révèlent dénués de sens ou erronés
  • Le processus permettant d’identifier ces rapports est chronophage et représente une lourde charge pour les mainteneurs
• Stenberg avait déjà abordé publiquement ce problème en 2025 dans un texte intitulé « Death by a thousand slops »

Quelques cas positifs de rapports assistés par l’IA

• Tous les rapports générés par l’IA ne sont pas sans valeur
  • Stenberg indique que plus de 100 rapports assistés par l’IA ont effectivement conduit à des corrections dans le code
• À ce jour, cURL a versé 101 020 dollars de bounty pour un total de 87 rapports de bugs
  • Sans ce bounty, certains rapports n’auraient peut-être pas été découverts (pas d’analyse supplémentaire)

La position du chercheur en sécurité Joshua Rogers

• Joshua Rogers est un chercheur qui a soumis à plusieurs projets open source de nombreux rapports de bugs valides en s’appuyant sur des outils d’IA
  • Il examinait les résultats d’analyse de l’IA, les complétait lui-même, puis les soumettait
• À propos de la décision de cURL, Rogers estime qu’il s’agit d’une « excellente mesure qui aurait dû être appliquée depuis longtemps »
  • Il ajoute qu’« il est plutôt étrange que ce système ait duré aussi longtemps »
• Il affirme que « même si la disparition du bug bounty réduira certaines motivations, les rapports importants continueront d’être soumis »

Déséquilibre entre récompense et motivation

• Rogers souligne que la réputation (fame) est la véritable motivation, et que la récompense financière est secondaire
  • La prime maximale de cURL est de 10 000 dollars, ce qui n’est pas une somme considérable pour des experts capables de trouver des vulnérabilités graves
• Il pointe toutefois aussi un déséquilibre économique
  • À récompense égale, cela peut avoir une grande importance pour des chercheurs vivant dans des régions à faibles revenus
  • Il explique qu’« une récompense qui paie à peine un déjeuner en Suède peut représenter une somme énorme dans certaines régions »

Un défi commun à l’écosystème open source

• Selon l’article, d’autres projets open source souffrent eux aussi d’un afflux massif de rapports générés par l’IA
• La décision de cURL pourrait ouvrir un nouveau débat sur le contrôle qualité et la gestion des communautés à l’ère de l’IA (pas d’explication supplémentaire)