Le gestionnaire de boucle en chef, l'outil de ligne de commande populaire et sa bibliothèque associée, a décidé de mettre fin au programme de récompenses géré par HackerOne. Selon la documentation du projet, la cessation prendra effet à la fin du mois de janvier 2026 et la décision répondra à une avalanche de rapports de sécurité de très mauvaise qualité, dont beaucoup semblent provenir d'outils d'intelligence artificielle.
Curl est un élément critique de l'écosystème web: est utilisé pour transférer des données à travers une multitude de protocoles et sa bibliothèque libcurl vous permet d'intégrer cette fonctionnalité dans des applications. Si vous voulez consulter la documentation officielle, le projet garde son site à boucler.se et explique l'intégration avec libcurl dans son tutoriel tutoriel libcurl.
Depuis 2019, l'équipe de curling a utilisé des canaux externes - entre autres Hacker Une et Bounty sur Internet- encourager la divulgation responsable en échange d'une compensation économique. Cependant, au cours des dernières semaines, le projet a documenté une augmentation soutenue des rapports qui consomment du temps de la part des responsables sans fournir de conclusions réelles : fausses descriptions positives, vagues ou rapports qui semblent « bien » au niveau de la rédaction, mais n'indiquent pas de vulnérabilités reproductibles.
Daniel Stenberg, fondateur et développeur de boucles en chef, a expliqué dans sa liste d'envois personnels les raisons du changement et expliqué comment ces envois surchargent la petite équipe qui maintient le projet. Vous pouvez lire votre message dans la liste publique à Cette entrée. De plus, Stenberg a partagé des exemples suffisamment illustratifs pour comprendre quel genre de rapports motivent la décision. Votre gist et leurs commentaires sur les médias sociaux votre publication en Mastodon.
Le changement est officialisé dans la documentation du dépôt: une mise à jour en cours dans le fichier de la politique de récompense de boucle ( Bug-Bounty.md) supprime les références au programme HackerOne et précise que, à compter de la date indiquée, le projet ne prévoit pas de compensation financière pour les vulnérabilités signalées ou ne mesurera pas les paiements de tiers. La transition technique et la transition de processus sont décrites dans la demande d'introduction de ces changements, disponible en C'est pas vrai..
Qu'est-ce que cela signifie dans la pratique? Jusqu'au 31 janvier 2026, le projet continuera d'accepter et de traiter les expéditions effectuées par HackerOne; les rapports déjà amorcés continueront d'être traités. À partir du 1er février, cependant, Curl demandera que les résultats soient communiqués directement par GitHub et maintiendront une position explicite de ne pas accorder de paiements. L'équipe a également mis à jour ses fichiers de sécurité indiquant que des contributions de mauvaise qualité seront sanctionnées et que l'objectif est de réduire le bruit qui détourne les responsables.
L'explication officielle met en évidence deux points étroitement liés: d'une part, la pénurie de mains actives qui soutiennent les projets open source et, d'autre part, l'arrivée massive de contenu automatique qui simule des rapports valides. Ce phénomène, parfois décrit comme l'inondation du contenu généré par l'IA qui apporte peu de valeur, force les heures de triage à classer et à rejeter les expéditions plutôt que de corriger les échecs réels. Stenberg a souligné que la pression sur la santé mentale et la durabilité de l'entretien a été déterminante pour prendre la décision.
Cette affaire soulève des questions plus larges sur la façon de financer et de sécuriser les projets de logiciels libres à l'ère de l'automatisation. Les programmes de récompenses offrent des incitations claires à ceux qui trouvent des vulnérabilités, mais ils introduisent également une économie qui peut attirer le volume de différents envois de qualité. Si l'automatisation permet de générer des requêtes et des reproches de masse, les responsables doivent concevoir des filtres et des processus de tri qui, à leur tour, consomment des ressources que de nombreux petits dépôts n'ont pas.
Il est possible que le retrait de la boucle de HackerOne n'arrête pas complètement l'arrivée de rapports fallacieux, quelque chose que l'équipe elle-même reconnaît; le changement aspire, c'est-à-dire, à couper une incitation économique qui amplifie le problème. La communauté de la sécurité et les projets open source devront continuer à explorer des solutions : de l'amélioration des priorités et du filtrage automatisé à la recherche de modèles durables de financement communautaire ou institutionnel pour le triage rémunéré.
Que peuvent faire les chercheurs et les utilisateurs maintenant? Pour ceux qui trouvent des problèmes légitimes en boucle ou en libcurl, l'itinéraire indiqué sera la présentation directe dans le dépôt GitHub du projet, et il convient de documenter clairement comment reproduire l'échec et son impact. Pour l'ensemble de la communauté, l'épisode rappelle que la qualité des communications techniques est aussi importante que la vulnérabilité elle-même : un rapport bien rédigé et vérifiable demeure le meilleur moyen de collaborer.
Daniel Stenberg a annoncé qu'il publiera un article plus détaillé sur le changement et les raisons qui l'ont motivé ; jusqu'alors, les sources principales du mouvement sont accessibles au public et sont la référence la plus fiable pour comprendre les nuances. Pour vérifier l'historique actuel de la politique et du projet, vérifiez le dépôt officiel dans GitHub et les entrées ci-dessus.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...