Projeto cURL encerra programa de bug bounty após aumento de submissões geradas por IA

O projeto cURL decidiu encerrar seu programa de bug bounty, com efeito a partir do fim de janeiro de 2026, após registrar um aumento de submissões geradas por inteligência artificial, o que passou a dificultar a análise adequada dos relatórios recebidos.

Daniel Stenberg, mantenedor principal do cURL, afirma que a iniciativa acabou gerando muito ruído, sobrecarregando a equipe de segurança sem resultar na identificação de vulnerabilidades reais. Segundo ele, embora a IA possa ser uma ferramenta útil na busca por falhas, o problema esteve no envio de relatórios mal pesquisados e de baixa qualidade.

Com o encerramento do programa, o objetivo é eliminar o incentivo financeiro para esse tipo de envio e reduzir o volume de relatórios irrelevantes. Mesmo sem recompensas financeiras, Stenberg espera que desenvolvedores continuem reportando vulnerabilidades reais ao projeto de forma responsável.