世界を動かす技術を、日本語で。

cURLがバグ報奨金を廃止

2026年1月21日原文(etn.se)

概要

  • cURL がバグ報告に対する報奨金制度を廃止
  • AI生成の無意味なバグ報告 が急増し、管理者の負担増加
  • 報奨金廃止で 不要な報告の抑制 を期待
  • 一部の 良質なAI支援報告 も存在
  • Joshua Rogers も廃止に賛成、動機は「名声」が主

cURL、AI生成バグ報告増加による報奨金制度廃止

  • cURL は、オープンソースのコードライブラリ
  • AIによる誤ったバグ報告 が大量に寄せられ、管理者の作業負担が深刻化
  • 報奨金制度が AIスロップ(無意味な報告) の動機となっていた現状
  • 管理者の Daniel Stenberg による「Death by a thousand slops」という表現で問題提起
  • 2024年1月末で 報奨金支払いを終了 する決定
  • 報奨金廃止は「 ゴミ報告のインセンティブ除去」が狙い
  • 本物の脆弱性発見 には今後も名声や達成感が動機として残る

AI生成バグ報告の現状と課題

  • AI生成バグ報告の大半は無意味 で、確認作業に多大な時間が必要
  • 一方で、 AI支援による有益な報告 も100件以上存在
    • 過去の報奨金総額 は87件で約101,020ドルに到達
  • 報奨金がなければ見逃されたバグ報告 もあった可能性
  • 他のオープンソースプロジェクト でも同様の問題が発生中

Joshua Rogersの見解と報奨金の意義

  • Joshua Rogers は著名なバグハンター
    • AIツールを活用しつつも 自ら確認・補足 して報告
  • 報奨金廃止を支持 し、「もっと早くやるべきだった」と発言
  • 名声こそが最大の報酬」という認識
    • cURLの最大報奨金1万ドルは、重大な脆弱性発見者にとっては小額
  • 経済状況による価値観の違い も指摘
    • 低所得地域では小額報奨金でも大きな動機となりうる
  • 開発者とセキュリティ研究者の非対称性 を問題視

今後のオープンソースプロジェクトへの示唆

  • 報奨金制度の見直し が他プロジェクトにも波及する可能性
  • AI生成報告の質向上 や新たな動機付けの模索が課題
  • コミュニティの健全な維持 と作業負担のバランス調整

Hackerたちの意見

興味がある人のために、スロップのリストを載せておくね: https://gist.github.com/bagder/07f7581f6e3d78ef37dfbfc81fd1d...

問題を再現するために、この脆弱性についてBardで調べてみた。BardがLLMとして言及されてるのを見ると、なんだか懐かしい気分になるね :)

2つのレポートを見たけど、それがAIから直接出ているのか、セキュリティをよく理解していない非常に若い学生からのものなのか判断できなかった。LLMは一般的にもっと説得力があると思う。

二つ目の報告で、ダニエルはスロッパーにすごく優しく挨拶して、会話を始めようとしたんだけど、スロッパーは全然違う名前で呼んできたんだ。しかもそれが2023年12月の話。めっちゃ疲れたに違いない。

正直、読んでてムカつく。cURLがこんなに長い間我慢してたなんて、驚きだわ。

その報告は明らかにAI生成だし、スタッフがそれを認識してないのが不思議で真剣に取り合ってるのが変だ。

バグが重要だと判明した場合に返金されるエントリー料金があれば、すぐに解決すると思う。でも、以前に銀行にバグ報告をしたことがあって、ログイン方法がパスワード+PINからPINのみに切り替えられることができるのに、彼らは「意図通りに動作している」として閉じられたんだ。オプションのパスワードの方が必須のパスワードより便利だと決めたみたいで。(それに、実際の二要素認証と、パスワードログインにPINを追加しただけの中途半端なものとの違いについては触れてないけど。)病院や銀行のような厳しく規制されているものは、実際のセキュリティではなく、コンプライアンスに合わせたセキュリティ手順があることを学んだよ。バグバウンティプログラムのホストが善意で運営していると仮定すると、エントリーの障壁や未検証のエントリーへの罰則を設けることで、悪意のある提出者を排除できると思う。

同意するけど、返金は合理的な人がそれを脆弱性と考えられるかどうかに基づくべきだね。外部の人には、ある行動が期待されるものなのか脆弱性なのかを判断するのは難しいことが多い。

バグが重要だと判明した場合に返金されるエントリー料金があれば、すぐに解決すると思う。これをNotionからConfluenceへのコスト境界と呼んでいる。Notionが最初に出たときは、サクサク動いて使いやすかった。ページを作成するのがほぼ手間いらずだったから、すぐに何千ものページができてしまったけど、ほとんどが無駄だった。Confluenceは、西欧では攻撃的に遅い。ページを追加することを考えるだけで気が滅入るから、既存のページを更新してリクエストタイムアウトの時間を節約する方が楽なんだ。結果的に、大企業でも約20ページしかない。sleep(15 * SECOND)が対策になるとは言わないけど、何かがスケールで非常に簡単にできるようになると、元の有用性がノイズの海に埋もれてしまうんだよね。

そのエピソードは面白いし、同時に怖い。オプションのパスワードは必須のより便利だけど、オプションのPINもそうだよね。一番便利なUXは、全くログインしなくてもいいことだ!もちろん、他の人が自分の銀行口座にアクセスできるのは不便だと思うけど。

バグバウンティは、提出者にとってリスクが大きいことが多い。報告を読む人があまり詳しくなくて、誤解することもよくあるし、どんな報告が求められているのかルールが不明瞭なことも多い。参加費を取ると、そのリスクが増える。正直、バグバウンティは両方にとってちょっと悲惨だよ。バグバウンティプログラムの受け取る側で働いたことがあるけど、提出されるものは信じられないくらいひどい。AIが登場する前でも、整理するのは大変だったから、今はどんな感じか想像もつかない。提出者にとっては、評価が公平に行われる保証がないまま、実質的にスペックで働いているようなもんだよね。たとえ評価されても、10年前に報告された問題の重複じゃないかという賭けをしてるわけだし、その会社が直す気がないだけなんだ。

cURLはそのプログラムを誠実に運営して、cURLが重視するバグ報告を提出する人たちの信頼をすぐに得るだろう。でも、君の銀行はそうじゃないし、私の銀行も、ほとんどの小売銀行もそうじゃない。もし初期コストが本当に潜在的な提出者を遠ざけるなら、ハッカーたちが君にお金を前払いして、バグが良さそうならその分の取り分を求めるような小規模な産業が生まれるだろう。それが気持ち悪いと思うかもしれないけど、実際はそうじゃない。彼らはプロジェクトのバグトリアージをやってくれるから、どんなソフトウェア会社も人にお金を払うことを喜ぶはずだよ。

Hacker Newsで議論の続きを見る