Curl: Orker ikke mer AI-søppel – vurderer å droppe "bug bounties"

– Kanskje vi må kutte pengepremiene? spør curl-skaper Daniel Stenberg etter at mengden AI-søppel ser ut til å øke raskere enn noensinne.

Daniel Stenberg er mannen bak det populære curl-verktøyet.

📸: CC BY-SA 4.0, Daniel Stenberg (Wikimedia commons)

Kurt Lekanger journalist, kode24.no

Publisert 16.07.2025 - 10:47

Daniel Stenberg, mannen bak curl, har tidligere sagt at mengden AI-genererte rapporter om feil og sårbarheter er så stor at han ikke lenger ville godta rapporter som er laget av AI.

Curl drukner i AI-feilrapporter: «Jeg har fått nok!»

Nå vil curl bannlyse alle som bruker AI til å rapportere inn feil.

Curl har et "bug bounty"-program der brukere kan melde inn feil. Men feilene er ofte ikke reelle, og de AI-genererte feilrapportene kan ofte inneholde referanser til kode som ikke eksisterer i virkeligheten.

Men trenden med AI-søppel ("AI slop") som meldes inn ser ikke ut til å stoppe opp, skriver Stenberg nå i et nytt blogginnlegg med tittelen "Death by a thousand slops", som The Register refererer til.

– Tvert imot ser det ut til at vi i det siste ikke bare har fått mer AI-søppel, men også mer menneskeskapt søppel. Det siste skiller seg bare ut ved at vi ikke umiddelbart kan se at det er laget av en AI – selv om vi ofte mistenker det. Sluttresultatet er det samme, skriver Stenberg.

Vurderer å kutte pengepremier

Ifølge curl-skaperen er trenden så langt i 2025 at det er langt mer AI-genererte feilrapporter enn tidligere. Rundt 20 prosent av alle rapporter er AI-genererte.

– Tidlig i juli var rundt 5 prosent av alle bidrag i 2025 ekte sårbarheter. Andelen gyldige bidrag har falt betydelig sammenlignet med tidligere år.

Det har vært dusører for å finne feil i curl helt siden 2019, og Stenberg mener bug bounty-programmet har vært en suksess. Totalt 81 sikkerhetsproblemer har blitt fikset og over 90.000 dollar (920.000 kroner) har blitt utbetalt i dusører.

– Selv om vi ikke kommer til å gjøre noe forhastet eller i panikk med det første, har vi likevel grunn til å vurdere å endre opplegget. Kanskje vi må fjerne pengepremien? skriver Stenberg.

Sand i maskineriet

Curls sikkerhetsteam består av sju medlemmer, som alle bruker mye tid på å evaluere feilrapporter – som ofte viser seg å ikke være reelle. Stenberg har laget en liste med eksempler på det han mener er "AI-søppel".

Nå vil Stenberg at de skal bruke ut 2025 til å vurdere hva de skal gjøre – mens bug bounty-programmet fortsetter som før inntil videre.

– Vi må redusere mengden sand i maskineriet. Vi må gjøre noe for å dramatisk redusere fristelsen for brukere til å sende inn rapporter av dårlig kvalitet. Enten de er laget med eller uten AI.