Popüler curl komut satırı yardımcı programı ve kütüphanesinin geliştiricisi, yapay zeka tarafından oluşturulan düşük kaliteli güvenlik açığı raporlarının bunaltılmasının ardından projenin HackerOne güvenlik hatası ödül programını bu ayın sonunda sonlandıracağını duyurdu.
Değişiklik ilk olarak Curl’ün BUG-BOUNTY.md belgelerine yapılan ve HackerOne programına yapılan tüm referansları kaldıran, bekleyen bir taahhütte keşfedildi.
Dosya birleştirildikten sonra, curl projesinin artık bildirilen hatalar veya güvenlik açıkları için herhangi bir ödül sunmayacağı ve araştırmacıların üçüncü taraflardan tazminat almasına da yardımcı olmayacağı belirtilecek şekilde güncellenecektir.
Yaklaşan güncellemede “Ocak 2026’nın sonuna kadar bir curl hata ödülü vardı. Artık yok. Curl projesi artık bildirilen hatalar veya güvenlik açıkları için herhangi bir ödül sunmuyor. Ayrıca güvenlik araştırmacılarının curl sorunları için başka kaynaklardan bu tür ödüller almasına da yardımcı olmuyoruz” diyor.
curl, genellikle web sitelerine bağlanmak için kullanılan çeşitli protokoller üzerinden veri aktarmanıza olanak tanıyan bir komut satırı yardımcı programıdır. İlişkili bir libcurl kitaplığı, geliştiricilerin kolay dosya aktarımı desteği için curl’u uygulamalarına dahil etmelerini sağlar.
2019’dan beri hata ödül programı HackerOne ve Internet Bug Bounty aracılığıyla yürütülüyor ve curl ve libcurl’de sorumlu bir şekilde açıklanan güvenlik açıkları için nakit ödüller sunuyor.
Curl’ün kurucusu ve baş geliştiricisi Daniel Stenberg, programda düşük çaba gerektiren ve geçersiz raporlarda büyük bir artış görüldüğünü ve bunların çoğunun yapay zeka tarafından oluşturulmuş gibi göründüğünü söylüyor.
Yapay zeka akıntısı, kulağa hoş gelen ancak gerçekte yararlı veya üretken hiçbir şey içermeyen, az çaba gerektiren, yapay zeka tarafından oluşturulan içeriğin giderek büyüyen bir akışıdır.
Stenberg, kişisel e-posta listesine yakın zamanda gönderdiği bir gönderide, bu düşük kaliteli raporların Curl güvenlik ekibini zorladığını ve programdan çekilmesine neden olduğunu açıkladı.
Stenberg, “Haftaya on altı saatlik bir süre içinde yedi Hackerone sorunu alarak başladık. Bunlardan bazıları doğru ve yerinde hatalardı ve bu hatalarla ilgilenmek uzun zaman aldı. Sonunda hiçbirinin bir güvenlik açığı tespit etmediği sonucuna vardık ve şu anda 2026’da yapılmış yirmi gönderimi sayıyoruz” diye açıkladı Stenberg.
“Bounty’yi kapatmanın asıl amacı, insanların bize saçma sapan ve iyi araştırılmamış raporlar gönderme teşvikini ortadan kaldırmaktır. Yapay zeka oluşturulmuş olsun ya da olmasın. Mevcut gönderim seli, Curl güvenlik ekibine büyük bir yük bindiriyor ve bu, gürültüyü azaltma girişimidir,” diye devam etti gönderisine.
Çekilme talebiyle ilgili yorumlarında Stenberg, HackerOne’dan çekilmenin önemsiz rapor seli’ni durdurmayabileceğini söyledi. Ancak Curl’ün sınırlı sayıda aktif bakımcıya sahip küçük bir açık kaynaklı proje olduğunu ve hayatta kalmasını sağlamak ve geliştiricilerin zihinsel sağlığını korumak için bu eylemi gerçekleştirmesi gerektiğini söyledi.
Stenberg ayrıca yapay zeka düşüş raporları olarak değerlendirdiği örnekleri paylaştı ve diğer açık kaynak projelerle karşılaştırıldığında güvenlik sunumlarında hızlı bir artış gördüğünü söyledi.
Stenberg, Mastodon’a şunları yazdı: “#curl bug-bounty’nin 2025’e kadar hızlı bir gönderim oranı aldığını doğrulayan verilere sahip gibiyiz, oysa Hackerone’da barındırılan diğer bazı Açık Kaynak programlarında bu oran elde edilmedi.”
HackerOne’ın hata ödül programından dahili başvuru sürecine geçiş aşamalar halinde gerçekleşecek.
Stenberg, curl projesinin HackerOne başvurularını 31 Ocak 2026’ya kadar kabul edeceğini ve o tarihte devam eden raporların işlenmeye devam edeceğini söyledi.
1 Şubat 2026’dan itibaren proje artık yeni HackerOne gönderimlerini kabul etmeyecek ve bunun yerine araştırmacılardan güvenlik sorunlarını doğrudan GitHub aracılığıyla bildirmelerini isteyecek.
Curl’ün yeni tutumu, projenin rapor edilen güvenlik açıkları için herhangi bir parasal tazminat teklif etmediğini belirten ve “saçma” raporlar gönderen kişilerin yasaklanacağı ve kamuya açık bir şekilde alay konusu olacağı konusunda uyarıda bulunan güvenlik.txt dosyasına yapılan son güncellemeye de yansıyor.
Stenberg, önümüzdeki hafta bu yaklaşan değişiklik hakkında daha fazla ayrıntı içeren bir blog yazısı yayınlayacağını söyledi.
Bütçe mevsimi! 300’den fazla CISO ve güvenlik lideri, önümüzdeki yıl için nasıl planlama, harcama ve önceliklendirme yaptıklarını paylaştı. Bu rapor onların içgörülerini derleyerek okuyucuların stratejileri karşılaştırmasına, ortaya çıkan trendleri belirlemesine ve 2026’ya girerken önceliklerini karşılaştırmasına olanak tanıyor.
Üst düzey liderlerin yatırımı nasıl ölçülebilir etkiye dönüştürdüğünü öğrenin.