Curl cancela su bug bounty para frenar reportes basura generados por IA

El bug bounty de Curl cancelado por reportes de IA ya es oficial: el proyecto de código abierto detrás de cURL, una de las herramientas más usadas para transferencia de datos y automatización de requests HTTP(S), cerrará su programa de recompensas a finales de enero de 2026. La decisión llega tras un incremento de envíos de baja calidad, difíciles de verificar y, en muchos casos, generados o amplificados por IA, que han elevado la carga operativa del equipo de seguridad.

El cambio quedó reflejado en un commit del repositorio de Curl, titulado “BUG-BOUNTY.md: we stop the bug-bounty end of Jan 2026”, con el que el proyecto formaliza el fin de su esquema de recompensas. La medida no implica que Curl deje de recibir reportes: el objetivo declarado es retirar el incentivo económico que, según los mantenedores, está atrayendo reportes “crap” y “non-well researched”, independientemente de si fueron escritos por humanos o por sistemas generativos.

Por qué el bug bounty de Curl cancelado por reportes de IA es relevante

Que el bug bounty de Curl cancelado por reportes de IA ocurra en un proyecto tan ubicuo tiene impacto directo en la industria: Curl y libcurl se integran en stacks de Cloud Computing, pipelines CI/CD, herramientas de observabilidad, sistemas embebidos y productos empresariales. En ese contexto, la saturación de reportes no reproducibles añade un riesgo operativo: consume ciclos de triage, retrasa la validación de issues reales y aumenta la fatiga del equipo responsable de responder ante posibles vulnerabilidades.

En un mensaje publicado en la lista de correo del proyecto, Daniel Stenberg explicó que en una sola semana el bug bounty generó siete envíos y que, aunque algunos identificaban bugs, ninguno describía una vulnerabilidad. Determinarlo llevó “a good while”, un coste de verificación que el proyecto considera incompatible con el volumen de ruido actual.

Menos incentivos económicos, misma expectativa de disclosure

Stenberg sostiene que el fin del programa busca “remove the incentive” para que terceros envíen reportes pobres, “AI generated or not”, y reducir “the current torrent of submissions” que está cargando al equipo de seguridad. Al mismo tiempo, insiste en que se sigan reportando vulnerabilidades reales incluso sin pago, reforzando el valor del responsible disclosure como norma de la comunidad open source.

El responsable de Curl también reiteró que seguirá señalando públicamente los reportes que considere “silly”, especialmente cuando carecen de comprensión técnica o reproducibilidad. Su postura se apoya en una regla básica del trabajo de seguridad: un reporte útil debe incluir contexto, evidencias y pasos para reproducir, no solo texto verosímil.

Qué cambia a partir de ahora en el bug bounty de Curl cancelado por reportes de IA

• Se elimina el pago asociado al programa de bug bounty (fin del incentivo económico).
• El proyecto seguirá aceptando reportes de vulnerabilidades de seguridad, pero espera envíos bien investigados y reproducibles.
• La prioridad interna pasa por reducir ruido y proteger el tiempo de triage del equipo de seguridad.

El bug bounty de Curl cancelado por reportes de IA no es una prohibición del uso de IA en seguridad: el propio Stenberg ya había reconocido que la IA puede ayudar a encontrar bugs cuando se usa como apoyo técnico y no como generador de reportes sin verificación. El foco está en la calidad del submission, no en la herramienta.

Fuentes y referencias técnicas

Para más contexto oficial sobre el proyecto y sus políticas, se puede consultar el sitio de Curl (https://curl.se/) y el repositorio principal en GitHub (https://github.com/curl/curl), donde se registró el commit que formaliza el cierre del programa.

En el corto plazo, la incógnita será si la comunidad mantiene el flujo de reportes responsables sin recompensa económica. En cualquier caso, el bug bounty de Curl cancelado por reportes de IA marca un punto de inflexión: proyectos críticos están empezando a ajustar sus mecanismos de seguridad para resistir la presión de “AI slop” y proteger la señal que realmente importa: vulnerabilidades reproducibles y con impacto.