Der Chief Curl Manager, das beliebte Kommandozeilen-Tool und seine zugehörige Bibliothek, hat beschlossen, das Belohnungs-Programm durch HackerOne verwaltet zu beenden. Laut der Projektdokumentation wird die Beendigung Ende Januar 2026 wirksam sein und die Entscheidung reagiert auf eine sehr geringe Lawine von Sicherheitsberichten, von denen viele offenbar durch künstliche Intelligenz-Tools generiert werden.
Curl ist ein kritisches Stück des Web-Ökosystems: wird verwendet, um Daten über eine Vielzahl von Protokollen zu übertragen und seine Bibliothek libcurl ermöglicht es Ihnen, diese Funktionalität in Anwendungen zu integrieren. Wenn Sie die offizielle Dokumentation konsultieren möchten, behält das Projekt seine Website an Curl. und erklärt die Integration mit libcurl in ihr Tutorial Informieren Sie sich.
Seit 2019 hatte das Curl-Team externe Kanäle genutzt - darunter Hacker Ein und Internet Bug Bounty- zur Förderung der verantwortungsvollen Offenlegung im Tausch der wirtschaftlichen Entschädigung. Doch in den letzten Wochen dokumentiert das Projekt eine anhaltende Zunahme der Berichte, die Zeit von den Betreuern konsumieren, ohne echte Ergebnisse zu liefern: falsche positive, vage Beschreibungen oder Berichte, die scheinbar "gut" auf der Erarbeitungsebene scheinen, aber keine reproduzierbaren Schwachstellen angeben.
Daniel Stenberg, Gründer und Chefcurl-Entwickler, erläuterte in seiner persönlichen Mailingliste die Gründe für die Änderung und detailliert, wie solche Sendungen das kleine Team überlasten, das das Projekt aufrechterhält. Sie können Ihre Nachricht in der öffentlichen Liste lesen Dieser Eintrag. Darüber hinaus hat Stenberg Beispiele gemeinsam, die illustrativ genug sind, um zu verstehen, welche Art von Berichten die Entscheidung motiviert; es gibt eine öffentliche Sammlung dieser Beispiele in Ihr Gist und ihre Kommentare zu sozialen Medien sind verfügbar unter Ihre Veröffentlichung in Mastodon.
Die Änderung wird in der Projektarchivdokumentation formalisiert: ein ausstehendes Update in der Curl-Belohnungsrichtliniendatei ( Bug-BOUNTY.md) die Verweise auf das HackerOne-Programm entfernt und erklärt, dass das Projekt ab dem angegebenen Datum keine finanzielle Entschädigung für gemeldete Schwachstellen bietet oder keine Maßnahmen zur Zahlungserbringung von Dritten trifft. Der technische und verfahrenstechnische Übergang wird in der Aufforderung beschrieben, diese Änderungen einzuführen, die in GitHub.
Was bedeutet das in der Praxis? Bis zum 31. Januar 2026 wird das Projekt weiterhin Sendungen von HackerOne akzeptieren und verarbeiten; die bereits eingeleiteten Berichte werden weiter verarbeitet. Ab dem 1. Februar wird Curl jedoch verlangen, dass die Ergebnisse direkt von GitHub übermittelt werden und eine explizite Position beibehält, keine Zahlungen zu gewähren. Das Team hat auch seine Sicherheitsdateien aktualisiert, die darauf hindeuten, dass qualitativ minderwertige Beiträge sanktioniert werden und dass das Ziel ist, das Geräusch zu reduzieren, das die Betreuer ablenkt.
Die offizielle Erklärung unterstreicht zwei eng miteinander verbundene Punkte: einerseits den Mangel an aktiven Händen, die Open-Source-Projekte unterstützen und andererseits die massive Ankunft von automatischen Inhalten, die valide Berichte simulieren. Dieses Phänomen, manchmal beschrieben als die Inundation von Inhalten, die von IA erzeugt, die wenig Wert bringt, macht Triage Stunden, Sendungen zu klassifizieren und abzulehnen, anstatt echte Fehler zu korrigieren. Stenberg hat darauf hingewiesen, dass der Druck auf geistige Gesundheit und Nachhaltigkeit entscheidend für die Entscheidungsfindung war.
Dieser Fall stellt weitere Fragen zur Finanzierung und Sicherung freier Softwareprojekte im Automatisierungsalter. Reward-Programme bieten klare Anreize für diejenigen, die Schwachstellen finden, aber sie führen auch eine Wirtschaft, die Volumen von verschiedenen Qualitätslieferungen anziehen kann. Wenn die Automatisierung Anfragen und Massenreproaches erzeugen kann, müssen die Betreuer Filter und Triage-Prozesse entwerfen, die wiederum Ressourcen verbrauchen, die viele kleine Repositories nicht haben.
Es ist möglich, dass der Abzug von Lock von HackerOne nicht vollständig die Ankunft von spurvollen Berichten, etwas, das das Team selbst erkennt, stoppen; die Änderung strebt an, d.h. einen wirtschaftlichen Anreiz abzuschaffen, der das Problem verstärkte. Die Sicherheitsgemeinschaft und Open-Source-Projekte müssen weiterhin Lösungen erforschen: von der Verbesserung der Priorisierung und automatisierten Filterung bis hin zur Suche nach nachhaltigen Modellen der Gemeinschaft oder institutioneller Finanzierung für bezahlte Triage.
Was können Forscher und Nutzer jetzt tun? Für diejenigen, die legitime Probleme in Lock oder Licurl finden, wird die angegebene Route die direkte Präsentation im GitHub-Repository des Projekts sein, und es ist angebracht, klar zu dokumentieren, wie man den Ausfall und seine Auswirkungen reproduziert. Für die Gemeinschaft im Großen und Ganzen dient die Folge als Erinnerung daran, dass die Qualität der technischen Kommunikation ebenso wichtig ist wie die Verwundbarkeit selbst: ein gut ausgebauter und verifizierbarer Bericht bleibt der beste Weg zur Zusammenarbeit.
Daniel Stenberg kündigte an, dass er einen detaillierteren Artikel über die Änderung und die Gründe dahinter veröffentlichen wird; bis dahin sind die primären Quellen der Bewegung öffentlich zugänglich und sind der zuverlässigste Hinweis auf die Verstehen von Nuancen. Um die aktuelle Policy und Projekthistorie zu überprüfen, überprüfen Sie das offizielle Repository in GitHub und die Einträge oben.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...