cURL ने bug bounty program बंद किया

 (etn.se)
7 पॉइंट द्वारा GN⁺ 2026-01-22 | 2 टिप्पणियां | WhatsApp पर शेयर करें
  • open source लाइब्रेरी cURL ने AI द्वारा बनाए गए बेकार bug reports की तेज़ बढ़ोतरी को रोकने के लिए bug bounty program समाप्त कर दिया है
  • maintainer Daniel Stenberg ने समझाया कि AI से बनी ज्यादातर reports “पूरी तरह झूठी” हैं, और उनकी जांच में बहुत समय लगता है
  • cURL ने जनवरी के अंत से इनाम भुगतान बंद कर दिया है, और अब तक कुल 87 reports पर 101,020 डॉलर दिए जाने का रिकॉर्ड है
  • security researcher Joshua Rogers ने AI tools का उपयोग करके वास्तविक और valid reports जमा की थीं, लेकिन उन्होंने भी इस फैसले को “बहुत समझदारी भरा कदम” बताया
  • उनका कहना है कि असली प्रेरणा पैसा नहीं बल्कि प्रतिष्ठा और तकनीकी उपलब्धि है, और दूसरे projects को भी ऐसे कदम पर विचार करना चाहिए

cURL का bug bounty बंद करने का फैसला

  • open source code लाइब्रेरी cURL ने bug reports पर monetary reward देना बंद कर दिया है
    • इसका उद्देश्य AI से बने झूठे reports (AI slop) की बाढ़ को नियंत्रित करना है
    • maintainer Daniel Stenberg ने कहा, “AI slop और गलत reports लगातार बढ़ रही हैं, और अगर इस बाढ़ को नहीं रोका गया तो हम डूब जाएंगे”
  • cURL ने जनवरी के अंत से bounty भुगतान बंद कर दिया
    • उन्होंने कहा, “ऐसी खोजों पर बहुत समय बर्बाद हो रहा है जो असल में मौजूद ही नहीं हैं, बढ़ा-चढ़ाकर बताई गई हैं, या गलत समझी गई हैं”

AI से बने reports की समस्या और असर

  • हाल के समय में AI द्वारा अपने आप बनाए गए bug reports की वजह से cURL पर काम का बोझ काफी बढ़ गया
    • इनमें से ज्यादातर AI-generated reports बेकार या गलत साबित हुईं
    • ऐसी reports की पहचान करना बहुत समय लेने वाला है, और maintainers पर बड़ा बोझ डालता है
    विज्ञापन
  • Stenberg ने 2025 में “Death by a thousand slops” नाम की पोस्ट में इस समस्या पर सार्वजनिक रूप से बात की थी

AI-assisted reports के सकारात्मक उदाहरण

  • सभी AI-generated reports बेकार नहीं होतीं
    • Stenberg ने कहा कि 100 से अधिक AI-assisted reports वास्तव में code fixes तक पहुंची हैं
  • अब तक cURL ने कुल 87 bug reports पर 101,020 डॉलर की bounty दी है
    • bounty न होती तो कुछ reports शायद कभी सामने ही नहीं आतीं (अतिरिक्त विश्लेषण नहीं)

security researcher Joshua Rogers का दृष्टिकोण

  • Joshua Rogers ऐसे researcher हैं जिन्होंने AI tools की मदद से open source projects में कई valid bug reports जमा कीं
    • वे AI के analysis की समीक्षा करके, खुद उसे बेहतर बनाकर report जमा करते थे
  • Rogers ने cURL के इस फैसले को “यह बहुत पहले लागू हो जाना चाहिए था, ऐसा शानदार कदम” बताया
    • उन्होंने कहा, “यह व्यवस्था इतनी लंबी चली, यही उलटा अजीब है”
    विज्ञापन
  • उनका कहना है, “bug bounty खत्म होने पर कुछ प्रेरणा कम होगी, लेकिन महत्वपूर्ण reports फिर भी जमा होती रहेंगी

इनाम और प्रेरणा के बीच असंतुलन

  • Rogers ने ज़ोर देकर कहा कि “प्रतिष्ठा (fame) ही असली प्रेरणा है, monetary reward दूसरी चीज़ है”
    • cURL की अधिकतम bounty 10,000 डॉलर है, जो गंभीर vulnerability खोज सकने वाले विशेषज्ञों के लिए बहुत बड़ी रकम नहीं है
  • हालांकि, उन्होंने आर्थिक असंतुलन की ओर भी इशारा किया
    • वही reward कम-आय वाले क्षेत्रों के researchers के लिए काफी मायने रख सकता है
    • उन्होंने कहा, “स्वीडन में जो रकम सिर्फ लंच के बराबर लगे, वही कुछ इलाकों में बहुत बड़ी रकम हो सकती है”

open source ecosystem की साझा चुनौती

  • लेख के अनुसार, दूसरे open source projects भी AI-generated reports की बाढ़ से जूझ रहे हैं
  • cURL का यह फैसला AI युग में quality control और community संचालन के तरीके पर नई बहस शुरू कर सकता है (अतिरिक्त व्याख्या नहीं)

संबंधित पढ़ाई

2 टिप्पणियां

 
xguru 2026-01-22

LLM-आधारित हैकिंग exploit जनरेशन का industrialization करीब आ रहा है

इसके साथ जुड़कर लगता है कि वह समय आ रहा है जब कई क्षेत्रों में LLM को लागू किए बिना काम नहीं चलेगा।
LLM का इस्तेमाल करने वाले hackers को रोकने के लिए भी security के verification की जिम्मेदारी LLM को सौंपनी होगी
 
GN⁺ 2026-01-22
Hacker News की राय

  • अगर किसी bug के वास्तव में महत्वपूर्ण समस्या साबित होने पर refundable entry fee रखी जाए, तो शायद इस तरह की समस्या जल्दी रोकी जा सकती है
    मुझे याद है, मैंने एक बार बैंक के login तरीके में ऐसी कमजोरी रिपोर्ट की थी जिसमें password+PIN की जगह सिर्फ PIN से बदला जा सकता था, लेकिन उसे “intended behavior” कहकर बंद कर दिया गया
    मैंने सीखा कि अस्पतालों या बैंकों जैसे ज़्यादा regulated संस्थान असली security से ज़्यादा ‘compliance पूरा करने’ पर फोकस करते हैं
    अगर bug bounty चलाने वाले लोग good faith में काम कर रहे हों, तो इस तरह की entry barrier या penalty दुर्भावनापूर्ण submitter को छाँटने में मदद कर सकती है

    • bug bounty submitter के नज़रिये से उच्च-जोखिम वाली संरचना है
      reviewer अक्सर बात को गलत समझ लेते हैं, या rules कई बार अस्पष्ट होते हैं
      अगर entry fee ली जाए, तो वह risk और बढ़ जाता है
      जब मैं पहले operator की तरफ था, तब भी बहुत खराब reports आती थीं, और अब AI के साथ शायद यह और गंभीर हो गया होगा
      submitter के लिए भी fair evaluation की गारंटी पाना मुश्किल है, और report के duplicate होने की संभावना भी ज़्यादा रहती है
    • यह दुखद हक़ीक़त है कि ज़्यादा regulated संस्थान security से ज़्यादा बस पकड़े न जाने लायक न्यूनतम स्तर बनाए रखना चाहते हैं
      पहले एक EU बैंक सिर्फ SHA-1 support करने वाले electronic-signature login की ही अनुमति देता था, जबकि वह algorithm 10 साल पहले ही deprecated हो चुका था
      government-certified identity provider software में YubiKey लगा ho to vah seedhe crash ho jata tha
      device standard follow कर रहा था, लेकिन developer ने standard के बाहर की assumptions कर ली थीं
      मैंने bug report किया, लेकिन जवाब सिर्फ “यह हमारी समस्या नहीं है” मिला
    • bug bounty का मूल उद्देश्य कमज़ोरियों को developers तक रिपोर्ट करने के लिए प्रोत्साहित करना है
      लेकिन अगर report करने के लिए पैसे देने पड़ें, और refund या reward भी पक्का न हो, तो किसी और जगह बेच देना ज़्यादा आकर्षक लग सकता है
    • entry fee सिस्टम operational complexity को बहुत बढ़ा देता है
      cURL के Daniel इस idea को पहले कई बार देख चुके हैं, लेकिन आखिर में उन्होंने इसे impractical माना
    • मैंने भी GrapheneOS के मामले को देखकर यही निष्कर्ष निकाला
      certified लेकिन असुरक्षित devices app की सारी functionality इस्तेमाल करते हैं, लेकिन सबसे सुरक्षित OS, GrapheneOS की functionality सिर्फ “certification नहीं है” इस वजह से सीमित कर दी जाती है
      आखिर में समस्या security नहीं, certification system है

  • लगता है कि open source को AI से सबसे ज़्यादा नुकसान हो रहा है
    open source code को model training में इस्तेमाल किया गया, और अब वही model open source projects को spam से भर रहा है
    साथ ही AI paid features implement करके open source business model को खा रहा है, और अंत में शायद open source code को ही replace कर दे

    • AI open source की सारी motivation को मार देने वाली चीज़ है
      contribution, maintenance, learning, collaboration, business बनाना—सबकी इच्छा कम कर देता है
      यहाँ तक कि private code पर काम करने वाले traditional employment model को भी तोड़ देता है
      आखिरकार मामला यह बन जाता है कि तीन अमेरिकी कंपनियाँ हमारे पुराने काम को subscription के रूप में दोबारा बेचने की होड़ में हैं
    • AI के बाद से ऐसे लोगों की बाढ़ आ गई है जिन्हें code की ठीक समझ नहीं है, लेकिन वे बड़े repositories में contributor badge लेना चाहते हैं
      पहले भी इस तरह के दिखावटी contribution होते थे, लेकिन अब उसका scale बिल्कुल अलग है
    • अगर यह रुझान चलता रहा, तो Google Summer of Code जैसे programs में भी बड़े स्तर पर बदलाव की ज़रूरत पड़ेगी
      पहले छात्र खुद project ढूँढकर contribution करते थे, जिससे filtering स्वाभाविक रूप से हो जाती थी, लेकिन AI यह काम कर दे तो वह filter गायब हो जाता है
    • यह दुख की बात है कि AI open source business model को हिला रहा है, लेकिन किसी के पास business model पर अधिकार नहीं होता
      दुनिया में competition होगा तो open-core आधारित model का टूटना स्वाभाविक है
    • model सिर्फ open source code से train नहीं हुए
      उनमें textbooks, lectures, official docs वगैरह भी शामिल थे
      मैंने पहले एक पुराने Android device से data recovery करने के लिए Claude से GUI feature जुड़वाया था, और वह काफ़ी अच्छा चला
      code असली project की दिशा से अलग हो गया था, इसलिए मैंने उसे GitHub पर वापस नहीं डाला

  • white-hat hacker के नज़रिये से bug bounty का reward बहुत बड़ा नहीं होता, लेकिन इसमें नैतिक चुनाव के तौर पर भाग लेने का मतलब होता है
    दूसरी तरफ, अगर exploit की जा सकने वाली vulnerability ho, to use zyada paise dene wale malware author ko bhi becha ja sakta hai

    • लेकिन व्यवहारिक रूप से malware author के साथ सौदा करना लगभग असंभव है
      दोनों तरफ भरोसा नहीं होता, इसलिए crypto escrow, laundering जैसी जटिल प्रक्रियाएँ चाहिए होती हैं
      सरकारी मंज़ूरी के बिना ऐसा सौदा करने पर कानूनी जोखिम भी बड़ा होता है
      इसलिए मुझे नहीं लगता कि ऐसा बाज़ार वास्तव में ठीक से चल सकता है
    • हो सकता है malware author भी AI-जनरेटेड कचरा reports छाँटने में परेशान हों

  • Hackerone के पास hackers के लिए reputation system है
    verified hackers को ही invite करने वाले private programs चलाना अच्छा लग सकता है, समझ नहीं आता कि ऐसा क्यों नहीं करते

    • लेकिन अगर हर project ऐसा करे, तो नए hackers के लिए खुद को साबित करने का मौका खत्म हो जाएगा
      अंत में ecosystem में entry barrier बहुत ऊँचा हो सकता है

  • पैसों के अलावा प्रतिष्ठा या CVE हासिल करना भी एक motivation है
    Stenberg ने अपने blog में कई बार overhyped vulnerabilities के cases पर बात की है, और उनमें से कुछ जानबूझकर reputation पाने के लिए बढ़ा-चढ़ाकर पेश किए गए लगते थे
    इस तरह की motivation को incentive design से संभालना मुश्किल है

  • इस समस्या की पृष्ठभूमि दिखाने वाला एक वीडियो है → YouTube लिंक

    • मैंने वीडियो देखने की कोशिश की, लेकिन आजकल की YouTube वाली बढ़ा-चढ़ाकर बोलने की शैली और gestures इतनी थकाने वाली लगती है कि मैंने जल्दी बंद कर दिया
      बड़ा microphone, ज़रूरत से ज़्यादा gestures, “awesome”, “insane” जैसे अतिरंजित शब्द—इनका पूरी बातचीत पर हावी होना थका देने वाला लगता है

  • “स्वीडन में lunch जितना reward भी कम-आय वाले देशों के लोगों के लिए बड़ा है” वाली बात कुछ ज़्यादा बढ़ा-चढ़ाकर कही गई लगती है
    Stockholm city center में lunch करीब 200 kronor का होता है, और ऐसी skills रखने वाला व्यक्ति उसे ‘बड़ी रकम’ नहीं मानेगा

    • लेकिन developing countries के नज़रिये से देखें तो 10,000 डॉलर की upper limit कई साल की minimum wage के बराबर हो सकती है
      थोड़ा अतिशयोक्ति हो, फिर भी यह अंतर नज़रअंदाज़ नहीं किया जा सकता

  • हमारी company का bug bounty practically बस एक security email address ही है, लेकिन उस पर रोज़ 100 से ज़्यादा spam mails आते हैं
    उनमें से ज़्यादातर AI-जनरेटेड नकली pentest reports होती हैं, जो झूठी vulnerabilities और गलत जानकारी से भरी रहती हैं
    यहाँ तक कि एक salesperson ने 3 घंटे की meeting fix करने की कोशिश की, और report में ऐसे IIS bugs और असंभव IP addresses लिखे थे जो मौजूद ही नहीं थे
    उस समय सच में समझ नहीं आया कि क्या कहें

  • पहले bug ढूँढना धीमा और मुश्किल काम था, इसलिए incentive की ज़रूरत थी, लेकिन अब असली bug को पहचानना ही ज़्यादा मुश्किल हो गया है
    AI bug hunter के बारे में मज़ाक चलता है कि “100 में से 3 असली मिलते हैं”

    • लेकिन अब भी गंभीर vulnerabilities की खोज इंसानों का क्षेत्र है
      cURL जैसे codebase की vulnerabilities या binary exploit AI अभी नहीं कर पाता
    • आखिर में असली bug की पहचान करने की प्रक्रिया अब भी धीमी और मुश्किल बनी हुई है

  • cURL की AI-जनरेटेड कचरा reports की सूची सार्वजनिक है → gist लिंक

    • दूसरे report में Daniel ने विनम्रता से बातचीत करने की कोशिश की, लेकिन सामने वाले ने उनका नाम तक गलत लिखा
      यह दिसंबर 2023 की बात थी, तब तक वे सच में थक चुके होंगे
    • मैंने कुछ पढ़ीं, और यह पहचानना मुश्किल था कि यह AI ने लिखा है या किसी शुरुआती छात्र ने
      फिर भी LLM ज़्यादा convincing लगा
    • “मैंने यह vulnerability Bard में search की” वाला वाक्य पढ़कर हँसी आ गई
      Bard का LLM के तौर पर ज़िक्र अब थोड़ा अजीब-सा लगा
    • साफ़ था कि सब AI ने लिखा था, इसलिए staff का इतनी गंभीरता से जवाब देना उल्टा अटपटा लगा
    • सच कहूँ तो सिर्फ पढ़ना भी चिढ़ पैदा करने वाले स्तर का है
      हैरानी होती है कि cURL ने इतना लंबे समय तक धैर्य रखकर जवाब दिए