AIによる低品質な脆弱性レポート連発でcURLがバグ報奨金プログラムを停止

オープンソースのネットワークツール「cURL」の開発チームは、2019年からセキュリティの脆弱(ぜいじゃく)性を発見した研究者に報奨金を支払う「バグ報奨金プログラム」を実施していました。しかし、近年はAIが生成した低品質な脆弱性報告が大量に届くようになっていたため、cURLのセキュリティチームはバグ報奨金プログラムを停止することを発表しました。

curl.se/.well-known/security.txt
https://curl.se/.well-known/security.txt

Curl ending bug bounty program after flood of AI slop reports | SOC Defenders
https://www.socdefenders.ai/item/708f48fb-c756-431f-bf85-9d4be11405cf

Curl ending bug bounty program after flood of AI slop reports
https://www.bleepingcomputer.com/news/security/curl-ending-bug-bounty-program-after-flood-of-ai-slop-reports/

cURLは様々なプロトコルを介してデータを転送できるコマンドラインユーティリティで、データダウンロードなどに広く利用されています。cURLの開発チームはセキュリティを維持するためにHackerOneやInternet Bug Bountyといったプラットフォームを通じてバグ報奨金プログラムを運営し、cURLおよびcURLをアプリケーションに組み込むための「libcurlライブラリ」のセキュリティ脆弱性を開示した人に報酬を与えていました。

しかし、cURLの創設者で主任開発者のダニエル・ステンバーグ氏によると、cURLのバグ報奨金プログラムで無効なレポートが大幅に増加しており、その多くはAIが生成したずさんなレポートとなっているそうです。ステンバーグ氏は過去にはAIを活用して実際のバグを見つけた例もあるものの、バグ報奨金プログラムにインセンティブを支払う従来の構造では、AIを用いた低品質な報告が続く限り維持が困難だと述べています。

ステンバーグ氏は2026年1月16日の投稿で「今週は16時間以内に7件のHackeroneの問題が届きました。中には正真正銘のバグもあり、対応にかなりの時間がかかりましたが、あくまで普通のバグであり報奨金プログラムの対象となる脆弱性ではありませんでした。最終的に、2026年に入ってから既に20件の報告を処理し、脆弱性を指摘する報告は1件もなかったと結論付けています」と述べており、AIが単なるバグを脆弱性かのように報告してくるいわゆる「AIスロップ」の問題について説明しています。これらのAIスロップのレポートは文章が一見してもっともらしく見えるものの、実際には技術的に意味がなかったり再現性がなかったりするレポートになっており、セキュリティ担当者の時間をいたずらに奪うものとなっていました。

こうした低品質のレポートがcURLセキュリティチームに負担をかけているため、バグ報奨金プログラムを廃止することになったとステンバーグ氏は発表しました。

cURLプロジェクトが公開している脆弱性報告に関するポリシーや連絡先を記した「security.txt」には、従来はセキュリティ研究者やホワイトハッカーがどこにどう報告すればよいかの案内が記されていました。しかし、記事作成時点では「報告された情報に対して報酬やその他の補償は一切提供しません」と報奨金プログラムを実施していない旨が記載されているほか、「くだらないことで私たちの時間を無駄にするなら、私たちはあなたを追放し、公衆の面前で嘲笑します」とAIスロップなどの低品質な報告を送ると処罰対象になる可能性も示されています。

cURLに対する脆弱性レポートは2026年1月31日までHackerOneへの提出を受け付け、その時点で進行中のレポートは引き続き処理されます。2月1日以降はHackerOneへの新規投稿を受け付けなくなり、脆弱性を発見した場合はGitHubを通じて直接報告するようにcURLセキュリティチームは呼びかけています。