O projeto cURL, uma das peças mais fundamentais da infraestrutura da internet moderna, decidiu encerrar oficialmente seu programa de bug bounty no fim de janeiro de 2026. O motivo não foi a falta de vulnerabilidades relevantes nem desinteresse da comunidade, mas sim algo bem mais sintomático dos tempos atuais: uma avalanche de relatórios de segurança gerados por IA, rasos, imprecisos e, geralmente, completamente inválidos.
Para contextualizar a importância da decisão, vale lembrar que o cURL é um utilitário open source usado por bilhões de dispositivos no mundo inteiro. Ele está presente em sistemas operacionais, servidores, appliances de rede, dispositivos IoT e aplicações críticas. Qualquer falha real ali merece atenção séria. O problema é que a atenção dos mantenedores vinha sendo drenada pelo ruído.
Muito trabalho, pouco resultado
Segundo Daniel Stenberg, criador e principal mantenedor do cURL, o programa de bug bounty já havia enfrentado problemas semelhantes em 2025. Mesmo após alertas públicos e ameaças de banimento a quem enviasse “AI slop”, ou seja, relatórios copiados diretamente de modelos de linguagem sem a compreensão do código, mas a situação só piorou em 2026. Em apenas uma semana, sete relatórios chegaram em um intervalo de 16 horas. Alguns até apontavam bugs reais, mas nenhum era uma vulnerabilidade de segurança, tornando o custo de triagem ainda mais frustrante.
No total, o projeto já havia analisado 20 submissões só nas primeiras semanas de 2026, um número alto para um time pequeno, voluntário e já sobrecarregado. A recompensa financeira, que deveria incentivar contribuições sérias, acabou funcionando como isca para spam automatizado.
A decisão foi remover todas as referências ao bug bounty da documentação, encerrar a parceria com a HackerOne e atualizar o arquivo security.txt informando que não há mais recompensas financeiras por relatórios. O programa se encerra oficialmente em 31 de janeiro de 2026. A partir de fevereiro, falhas continuarão podendo ser reportadas via GitHub ou listas de e-mail, mas sem dinheiro envolvido.
O ponto central da decisão não é rejeitar a divulgação responsável, mas remover o incentivo econômico que alimenta submissões automáticas e irresponsáveis. Como Stenberg deixou claro, o problema não é a IA em si, mas o uso preguiçoso dela: copiar e colar alertas genéricos de “CRITICAL RCE” sem entender, reproduzir ou validar nada.
O debate que se seguiu no GitHub expõe um dilema maior do open source moderno. Bug bounties nasceram no contexto corporativo, onde tempo de triagem é custo absorvível. Em projetos FOSS, esse tempo deveria se traduzir para os desenvolvedores, no mínimo, em saúde mental e noites melhor dormidas.
A comunidade trouxe sugestões, como taxas de submissão, depósitos reembolsáveis, sistemas de reputação, até bots de triagem com IA, mas o próprio Stenberg reconhece que isso tudo trata os sintomas, não a doença. Projetos como o cURL não têm poder para corrigir incentivos distorcidos de toda uma indústria.
No fim, a decisão do cURL soa menos como um protesto e mais como um ato de sobrevivência. Em um ecossistema cada vez mais dependente de software mantido por poucas pessoas, talvez a lição seja simples e desconfortável: ferramentas críticas sofrem em meio a uma economia baseada em volume, automação cega e recompensas mal alinhadas.
Ajude o Diolinux a se manter independente e crescente: seja membro Diolinux Play e receba benefícios exclusivos!