Daniel Stenberg, criador do curl, passará a restringir relatórios de segurança gerados por IA

Segundo ele, todos os relatórios de segurança submetidos via HackerOne precisarão, a partir de agora, indicar se foram gerados com o auxílio de IA. Caso a resposta seja positiva, os autores deverão responder a uma série de perguntas adicionais que exijam “prova de inteligência real”. Relatórios considerados como “lixo gerado por IA” serão motivo para banimento imediato do pesquisador envolvido.

A decisão foi motivada após um incidente envolvendo o usuário "evilginx", que submeteu um relatório de uma suposta vulnerabilidade crítica no protocolo HTTP/3. A falha, no entanto, foi apontada por mantenedores como inexistente no curl, e possivelmente relacionada a bibliotecas subjacentes, como a ngtcp2.

Além disso, a função citada no crash reportado (ngtcp2_http3_handle_priority_frame) sequer existe nas versões atuais das bibliotecas, levantando suspeitas de que o conteúdo havia sido gerado por ferramentas de IA sem embasamento técnico real.

O relatório foi encerrado como “Não Aplicável”, e a equipe decidiu tornar o caso público como alerta sobre o impacto negativo de falsos positivos gerados por IA.