Era uma questão de tempo até que a situação se tornasse insustentável. O cURL, a ferramenta e biblioteca de linha de comandos omnipresente para transferência de dados, utilizada em praticamente tudo, desde sistemas Windows até FreeBSD, encerrou oficialmente o seu programa de recompensas por bugs (bug bounty).
A decisão foi tomada na semana passada, quando Daniel Stenberg, o principal programador e criador do projeto, submeteu um pedido de alteração para remover todas as menções ao programa da documentação oficial. O prazo final foi definido para o final de janeiro de 2026, conforme detalhado no GitHub.
O peso do "lixo" digital nos programadores
Segundo Stenberg, o projeto cURL deixará de oferecer quaisquer recompensas financeiras por bugs ou vulnerabilidades reportadas. A equipa concluiu, da maneira mais difícil, que a existência de um incentivo monetário estava a encorajar comportamentos de má-fé, levando a uma sobrecarga de trabalho incomportável para os voluntários que mantêm o software.
O principal culpado apontado por Stenberg é o aumento exponencial de relatórios de baixa qualidade gerados por ferramentas de Inteligência Artificial. O programador descreveu a situação como uma inundação de "lixo de IA" que ameaçava afogar a equipa. Os responsáveis pela manutenção do projeto, que são obrigados a ler e analisar estes relatórios, lutam para encontrar sentido em submissões que, na sua maioria, são absurdas ou carecem do contexto de código necessário para serem úteis.
Esta vaga de ruído digital acaba por distrair os programadores dos problemas legítimos que realmente necessitam de correção. Embora o cURL tenha implementado anteriormente uma política para banir quem submetesse conteúdo gerado automaticamente, isso não foi suficiente para travar a horda de submissões de baixa qualidade motivadas pela esperança de um pagamento fácil.
Um problema crescente no código aberto
O programa de recompensas do cURL estava ativo desde 2019 e era gerido através da plataforma HackerOne. Durante o seu funcionamento, o projeto pagou mais de 100.000 dólares em recompensas por relatórios de vulnerabilidades de segurança válidos. No entanto, em meados de 2025, Stenberg já ponderava encerrar a iniciativa para remover a motivação financeira que alimentava o envio de spam.
O caso do cURL não é isolado. Outros grandes projetos de código aberto, como a Python Software Foundation, React e Apache Airflow, estão a enfrentar desafios semelhantes com o dilúvio de relatórios gerados por IA. A equipa do cURL ressalva que continua a valorizar e a aceitar relatórios de vulnerabilidades válidos, mas o incentivo financeiro que atraía os oportunistas chegou ao fim.
Nenhum comentário
Seja o primeiro!