Daniel Stenberg, criador e principal desenvolvedor do curl, ferramenta de linha de comando de código aberto amplamente usada para transferência de dados, está considerando encerrar o programa de recompensas por bugs (bug bounty) do projeto devido ao crescente volume de relatórios de baixa qualidade gerados por inteligência artificial (IA). Em um post no LinkedIn em 14 de julho de 2025, Stenberg revelou que cerca de 20% das submissões recebidas em 2025 foram classificadas como “AI slop” — relatórios gerados por ferramentas de IA, como grandes modelos de linguagem (LLMs), que frequentemente contêm informações imprecisas ou irrelevantes. Apenas 5% das submissões deste ano se confirmaram como vulnerabilidades reais, uma queda significativa em relação aos anos anteriores, segundo o desenvolvedor.
O programa de bug bounty do curl, iniciado em 2019 e gerenciado pela plataforma HackerOne, já pagou mais de US$ 90.000 por 81 vulnerabilidades confirmadas, com recompensas de até US$ 9.200 por falhas críticas. No entanto, o aumento de relatórios gerados por IA tem sobrecarregado a pequena equipe de sete voluntários que revisa as submissões. Stenberg destacou, em entrevista ao Ars Technica, que cada relatório consome de 30 minutos a três horas para análise, um custo significativo para um projeto de código aberto que depende de trabalho voluntário. “Estamos sendo efetivamente atacados por um DDoS”, escreveu Stenberg, comparando o volume de relatórios inválidos a um ataque de negação de serviço.
O problema dos “AI slop” não é novo. Desde janeiro de 2024, Stenberg vem alertando sobre relatórios gerados por ferramentas como Google Bard (atual Gemini) e ChatGPT, que produzem textos bem formatados, com inglês impecável e bullet points, mas frequentemente citam funções inexistentes ou problemas fabricados. Um exemplo recente, relatado por Stenberg em 7 de maio de 2025 no The Register, descrevia uma suposta vulnerabilidade no protocolo HTTP/3 do curl, que mencionava “ciclos de dependência de fluxo” e “funções inexistentes”, enganando inicialmente a equipe devido à reputação do remetente na HackerOne. Outro caso, conforme relatado no blog de Stenberg, incluiu um prompt acidentalmente colado no relatório, onde o autor pedia à IA para “tornar o texto alarmante”.
Para combater o problema, o curl implementou, em maio de 2025, uma política que exige que os remetentes declarem o uso de IA ao submeter relatórios na HackerOne. Aqueles que confirmam o uso enfrentam uma série de perguntas adicionais para provar a validade do bug, e submissões consideradas “AI slop” resultam em banimento imediato. Apesar disso, Stenberg observa que nenhum relatório gerado por IA nos últimos seis anos identificou uma vulnerabilidade genuína. Ele também sugeriu, em posts no X e no seu blog, que a HackerOne poderia adotar medidas como cobrar uma taxa por submissão ou exigir um depósito reembolsável para filtrar relatórios de baixa qualidade, embora reconheça que tais medidas poderiam desencorajar pesquisadores legítimos, especialmente novatos.
A situação do curl reflete um problema mais amplo no ecossistema de código aberto. Seth Larson, desenvolvedor de segurança da Python Software Foundation, relatou em dezembro de 2024 desafios semelhantes com relatórios de IA no Python, sugerindo que o problema afeta múltiplos projetos. Benjamin Piouffle, da Open Collective, também destacou, em maio de 2025, a inundação de “lixo de IA” em seus sistemas. A natureza acessível das ferramentas de IA reduziu a barreira para submissões oportunistas, permitindo que indivíduos com pouco conhecimento técnico enviem relatórios na esperança de lucrar com recompensas.
Stenberg planeja usar o restante de 2025 para avaliar o futuro do programa de bug bounty, considerando opções como eliminar as recompensas monetárias ou implementar filtros mais rigorosos. Ele expressa preocupação com o impacto emocional e temporal sobre sua equipe, composta principalmente por voluntários com tempo limitado. “Meus colegas não trabalham em tempo integral no curl. Alguns têm apenas três horas por semana”, lamentou Stenberg no Ars Technica. A remoção das recompensas, no entanto, pode não deter completamente os relatórios de IA, já que muitos remetentes parecem acreditar genuinamente que estão contribuindo, influenciados pelo hype em torno da IA.
Este cenário levanta questões sobre o equilíbrio entre incentivos financeiros e a sustentabilidade de projetos de código aberto. As informações aqui apresentadas são baseadas em fontes confiáveis, incluindo The Register, Ars Technica e o blog oficial de Stenberg, com verificação cruzada para garantir precisão. No entanto, a decisão final sobre o programa de bug bounty permanece incerta, pendente de avaliação até o final de 2025. Como você vê o impacto da IA nos projetos de código aberto? Compartilhe sua opinião nos comentários e acompanhe o Tutitech para mais atualizações sobre tecnologia e segurança!
Fontes: The Register, Ars Technica, TechCrunch, Blog de Daniel Stenberg