O criador da popular ferramenta de linha de comando curl e da respectiva biblioteca anunciou que o projeto encerrará o programa de recompensa por vulnerabilidades (bug bounty) no HackerOne no final deste mês.
A decisão foi tomada devido ao excesso de relatórios de baixa qualidade, muitos deles gerados por inteligência artificial (AI).
A informação foi identificada inicialmente em uma alteração pendente no arquivo de documentação BUG-BOUNTY.md do curl, que remove todas as referências ao programa no HackerOne.
Após a aprovação, o arquivo indicará que o projeto não oferece mais recompensas por bugs ou vulnerabilidades reportadas, nem auxiliará pesquisadores a obter compensações por terceiros.
“Até o final de janeiro de 2026, havia um programa de bug bounty para o curl.
Isso acabou.
O projeto curl não oferece mais recompensas por bugs ou vulnerabilidades reportadas.
Também não ajudamos pesquisadores a conseguir tais recompensas por outras fontes”, afirma o trecho da atualização.
O curl é uma ferramenta para transferência de dados via diversos protocolos, muito usada para conexão com websites.
Já a biblioteca libcurl permite que desenvolvedores integrem as funcionalidades do curl em seus próprios programas, facilitando a transferência de arquivos.
Desde 2019, o programa de bug bounty do curl é operado por meio do HackerOne e do Internet Bug Bounty, oferecendo recompensas financeiras para quem identifica e reporta vulnerabilidades de forma responsável.
Daniel Stenberg, fundador e principal desenvolvedor do curl, explicou que o programa passou a receber muitos relatórios de baixa qualidade e sem pesquisa adequada, muitos aparentando serem gerados por AI.
Ele classifica esse fenômeno como “AI slop”: um grande volume de conteúdo produzido com pouco esforço, que soa convincente, mas não traz informações úteis.
Em comunicado recente à sua lista de e-mails, Stenberg relatou que os relatórios de qualidade inferior vinham sobrecarregando a equipe de segurança do curl, o que motivou a decisão de encerrar o programa.
“No início desta semana, recebemos sete submissões no HackerOne em um período de dezesseis horas.
Algumas eram bugs legítimos, que demandaram tempo para análise.
No entanto, concluímos que nenhuma indicava uma vulnerabilidade real e, em 2026, já contabilizamos vinte submissões”, explicou Stenberg.
“O principal motivo para encerrar o programa é eliminar o incentivo a pessoas que enviam relatórios mal elaborados ou sem pesquisa, sejam eles gerados por AI ou não.
O excesso de submissões sobrecarrega a equipe de segurança, e esta é uma tentativa de reduzir esse ruído”, complementou.
Embora a saída do HackerOne talvez não elimine o fluxo de relatórios irrelevantes, Stenberg destacou que o curl é um projeto open source pequeno, com poucos mantenedores ativos.
Para preservar a saúde mental da equipe e garantir a continuidade do projeto, essa medida tornou-se necessária.
O desenvolvedor também compartilhou exemplos do que considera relatórios “AI slop” e apontou que o curl recebeu um aumento significativo no número de submissões ao longo de 2025, diferentemente de outros projetos open source na plataforma HackerOne.
“Temos dados que comprovam um salto expressivo nas submissões do programa de bug bounty do curl em 2025, enquanto outros projetos open source na mesma plataforma não apresentaram esse aumento”, afirmou Stenberg no Mastodon.
A transição do programa HackerOne para um processo interno de submissão será gradual.
Submissões via HackerOne serão aceitas até 31 de janeiro de 2026, e os relatórios em andamento serão processados normalmente.
A partir de 1º de fevereiro de 2026, o curl deixará de receber relatórios pelo HackerOne e passará a solicitar que pesquisadores enviem vulnerabilidades diretamente pelo GitHub.
A nova postura do curl também foi refletida em recente atualização do arquivo security.txt, que deixa claro que não haverá compensação financeira e alerta que relatórios “ruins” poderão resultar em banimento e ridicularização pública.
Stenberg promete publicar um post detalhado em seu blog na próxima semana, explicando todas as mudanças que estão por vir no programa de segurança do curl.
Publicidade
A Solyd Hunter encontra, valida e entrega os melhores profissionais de Cibersegurança, Red Team, AppSec e Pentest para sua empresa com garantia e agilidade. Clique aqui e contrate com segurança. Saiba mais...