Proyek open-source curl secara resmi akan mengakhiri program bug bounty yang dijalankan melalui HackerOne pada akhir Januari 2026. Keputusan ini diambil setelah tim curl kewalahan menangani banjir laporan kerentanan berkualitas rendah, yang sebagian besar diduga merupakan hasil konten AI generatif tanpa riset memadai—sering disebut sebagai AI slop.
Perubahan ini pertama kali terungkap lewat pending commit pada dokumen BUG-BOUNTY.md, yang menghapus seluruh referensi terkait program HackerOne. Setelah perubahan digabungkan, dokumentasi tersebut akan menyatakan bahwa curl tidak lagi memberikan imbalan apa pun untuk laporan bug atau kerentanan, serta tidak membantu peneliti memperoleh kompensasi dari pihak ketiga.
“Sampai akhir Januari 2026, curl memiliki bug bounty. Sekarang sudah tidak ada lagi. Proyek curl tidak menawarkan imbalan untuk laporan bug atau kerentanan,” demikian bunyi pembaruan dokumen tersebut.
Alasan Utama: Laporan Rendah Mutu Membebani Tim
Pendiri sekaligus lead developer curl, Daniel Stenberg, menjelaskan bahwa lonjakan laporan berusaha “terlihat meyakinkan” namun tidak mengidentifikasi kerentanan nyata telah membebani tim keamanan yang kecil.
Dalam pernyataannya, Stenberg mencontohkan bahwa tujuh laporan masuk hanya dalam 16 jam, dan meski beberapa terlihat serius, setelah ditelusuri tidak ada yang valid. Hingga awal 2026, tercatat 20 pengajuan—sebagian besar dinilai tidak berguna.
Menurutnya, tujuan utama menghentikan bounty adalah menghilangkan insentif bagi pelapor untuk mengirimkan laporan asal-asalan, baik buatan AI maupun tidak. Ia menegaskan bahwa proyek kecil seperti curl harus melindungi keberlanjutan tim dan kesehatan mental para maintainer.
Transisi Bertahap & Mekanisme Pelaporan Baru
- Hingga 31 Januari 2026: curl masih menerima laporan melalui HackerOne; laporan yang sudah berjalan tetap diproses.
- Mulai 1 Februari 2026: curl tidak lagi menerima pengajuan baru di HackerOne. Pelaporan kerentanan dialihkan langsung melalui GitHub.
Kebijakan baru ini juga tercermin pada berkas security.txt, yang menyatakan tidak ada kompensasi finansial dan memberi peringatan bahwa laporan “crap” dapat berujung pemblokiran dan sanksi publik.
Dampak bagi Ekosistem Open-Source
Keputusan curl menyoroti tantangan nyata proyek open-source di era AI generatif: volume laporan meningkat, namun kualitas menurun. Meski bug bounty efektif mendorong pelaporan, tanpa kurasi dan riset yang kuat, ia dapat berubah menjadi beban operasional.
Stenberg berencana merilis tulisan blog dalam waktu dekat untuk menjelaskan detail kebijakan dan langkah lanjutan.