cURL ने bug bounty program बंद किया

 (etn.se)
7 पॉइंट द्वारा GN⁺ 2026-01-22 | अभी कोई टिप्पणी नहीं है. | WhatsApp पर शेयर करें
  • open source लाइब्रेरी cURL ने AI द्वारा बनाए गए बेकार bug reports की तेज़ बढ़ोतरी को रोकने के लिए bug bounty program समाप्त कर दिया है
  • maintainer Daniel Stenberg ने समझाया कि AI से बनी ज्यादातर reports “पूरी तरह झूठी” हैं, और उनकी जांच में बहुत समय लगता है
  • cURL ने जनवरी के अंत से इनाम भुगतान बंद कर दिया है, और अब तक कुल 87 reports पर 101,020 डॉलर दिए जाने का रिकॉर्ड है
  • security researcher Joshua Rogers ने AI tools का उपयोग करके वास्तविक और valid reports जमा की थीं, लेकिन उन्होंने भी इस फैसले को “बहुत समझदारी भरा कदम” बताया
  • उनका कहना है कि असली प्रेरणा पैसा नहीं बल्कि प्रतिष्ठा और तकनीकी उपलब्धि है, और दूसरे projects को भी ऐसे कदम पर विचार करना चाहिए

cURL का bug bounty बंद करने का फैसला

  • open source code लाइब्रेरी cURL ने bug reports पर monetary reward देना बंद कर दिया है
    • इसका उद्देश्य AI से बने झूठे reports (AI slop) की बाढ़ को नियंत्रित करना है
    • maintainer Daniel Stenberg ने कहा, “AI slop और गलत reports लगातार बढ़ रही हैं, और अगर इस बाढ़ को नहीं रोका गया तो हम डूब जाएंगे”
  • cURL ने जनवरी के अंत से bounty भुगतान बंद कर दिया
    • उन्होंने कहा, “ऐसी खोजों पर बहुत समय बर्बाद हो रहा है जो असल में मौजूद ही नहीं हैं, बढ़ा-चढ़ाकर बताई गई हैं, या गलत समझी गई हैं”

AI से बने reports की समस्या और असर

  • हाल के समय में AI द्वारा अपने आप बनाए गए bug reports की वजह से cURL पर काम का बोझ काफी बढ़ गया
    • इनमें से ज्यादातर AI-generated reports बेकार या गलत साबित हुईं
    • ऐसी reports की पहचान करना बहुत समय लेने वाला है, और maintainers पर बड़ा बोझ डालता है
  • Stenberg ने 2025 में “Death by a thousand slops” नाम की पोस्ट में इस समस्या पर सार्वजनिक रूप से बात की थी

AI-assisted reports के सकारात्मक उदाहरण

  • सभी AI-generated reports बेकार नहीं होतीं
    • Stenberg ने कहा कि 100 से अधिक AI-assisted reports वास्तव में code fixes तक पहुंची हैं
  • अब तक cURL ने कुल 87 bug reports पर 101,020 डॉलर की bounty दी है
    • bounty न होती तो कुछ reports शायद कभी सामने ही नहीं आतीं (अतिरिक्त विश्लेषण नहीं)

security researcher Joshua Rogers का दृष्टिकोण

  • Joshua Rogers ऐसे researcher हैं जिन्होंने AI tools की मदद से open source projects में कई valid bug reports जमा कीं
    • वे AI के analysis की समीक्षा करके, खुद उसे बेहतर बनाकर report जमा करते थे
  • Rogers ने cURL के इस फैसले को “यह बहुत पहले लागू हो जाना चाहिए था, ऐसा शानदार कदम” बताया
    • उन्होंने कहा, “यह व्यवस्था इतनी लंबी चली, यही उलटा अजीब है”
  • उनका कहना है, “bug bounty खत्म होने पर कुछ प्रेरणा कम होगी, लेकिन महत्वपूर्ण reports फिर भी जमा होती रहेंगी

इनाम और प्रेरणा के बीच असंतुलन

  • Rogers ने ज़ोर देकर कहा कि “प्रतिष्ठा (fame) ही असली प्रेरणा है, monetary reward दूसरी चीज़ है”
    • cURL की अधिकतम bounty 10,000 डॉलर है, जो गंभीर vulnerability खोज सकने वाले विशेषज्ञों के लिए बहुत बड़ी रकम नहीं है
  • हालांकि, उन्होंने आर्थिक असंतुलन की ओर भी इशारा किया
    • वही reward कम-आय वाले क्षेत्रों के researchers के लिए काफी मायने रख सकता है
    • उन्होंने कहा, “स्वीडन में जो रकम सिर्फ लंच के बराबर लगे, वही कुछ इलाकों में बहुत बड़ी रकम हो सकती है”

open source ecosystem की साझा चुनौती

  • लेख के अनुसार, दूसरे open source projects भी AI-generated reports की बाढ़ से जूझ रहे हैं
  • cURL का यह फैसला AI युग में quality control और community संचालन के तरीके पर नई बहस शुरू कर सकता है (अतिरिक्त व्याख्या नहीं)

संबंधित पढ़ाई

अभी कोई टिप्पणी नहीं है.

अभी कोई टिप्पणी नहीं है.