Jak AI niszczy bug bounty

W wykorzystaniu AI do przyspieszenia naszych działań nie ma nic złego. Przy badaniu podatności technologia sztucznej inteligencji może szybciej wykrywać potencjalne błędy lub nieścisłości, znacznie skracając czas pracy człowieka, co w teorii ma zwiększać efektywność pracy i skrócić czas potrzebny na identyfikację poważnych luk.

Problem pojawia się, kiedy za bardzo odpłyniemy z użyciem AI i zaczniemy ufać, że nawet bez zajrzenia przez nas do danych systemów potrafi samodzielnie wykryć wszystkie ich słabości.

Program bug bounty zaczyna odczuwać problem tzw. AI Slop,  czyli „śmieciowych”, ale technicznie brzmiących zgłoszeń. Sztuczna inteligencja zaczęła generować ogromną liczbę fałszywych i niskiej jakości zgłoszeń, wyglądających jak profesjonalne raporty o podatnościach, ale w rzeczywistości zawierają błędne informacje, nieistniejące ścieżki ataku lub kod, który po prostu nie ma podstaw działać.

Koniec bug bounty dla cURL

Bug bounty to program, w którym organizacje nagradzają niezależnych badaczy za odkrywanie i zgłaszanie luk w oprogramowaniu. Jego celem jest zwiększenie bezpieczeństwa poprzez wykorzystanie wiedzy społeczności ekspertów.

Jednym z najbardziej znaczących przykładów tego, jak AI może „zniszczyć” dotychczasowy model bug bounty, jest decyzja o wycofaniu się z programu przez cURL. cURL to popularne narzędzie typu open-source do transferu danych w sieci, wykorzystywanym dosłownie wszędzie, od systemów operacyjnych po aplikacje serwerowe.

Projekt ten działał na platformie HackerOne od 2019 roku i przez ten czas wypłacił ponad 90 000 USD za 81 znalezionych podatności.

Pod koniec stycznia 2026 roku założyciel cURL, Daniel Stenberg, ogłosił, że program bug bounty zostanie zamknięty. Oficjalnym powodem było przytłaczające natężenie zgłoszeń, które choć wyglądały jak rzetelne raporty, w praktyce nie opisywały żadnej realnej luki.

W kilku pierwszych tygodniach 2026 roku zespół otrzymał około 20 zgłoszeń, z których żadne nie okazało się prawdziwą podatnością, ale każde wymagało od zespołu poświęcenia czasu, żeby je zweryfikować i odrzucić.

Stenberg otwarcie przyznał, że program bug bounty stał się bardziej obciążeniem niż pomocą. Mówił wprost, że „nagrody finansowe zachęcały niektórych do masowego generowania raportów AI bez należytej weryfikacji merytorycznej.”

W komunikacie o zakończeniu programu stwierdzono również, że od 1 lutego 2026 roku nie będą wypłacane żadne nagrody.

Czy bug bounty umiera?

Nie, ale na pewno ewoluuje.

AI nie jest złe same w sobie; jest narzędziem, które trzeba odpowiednio kontrolować i moderować. Sztuczna inteligencja realnie może przyspieszać pracę badaczy, pomagać we wstępnym przygotowaniu raportów, wskazywać potencjalne problemy w kodzie czy sugerować następne kroki. Jednak zawsze za treściami generowanymi przez AI powinien stać człowiek, który weryfikuje i filtruje wyniki.

To, co aktualnie obserwujemy, to próba wykorzystania AI do zdobycia nagród pieniężnych z programu bug bounty. Próba nie dość, że nieudana, ale też szkodliwa dla społeczności. Każde takie fałszywe zgłoszenie to marnowanie czasu osób weryfikujących.

Konieczne jest wprowadzenie nowych zasad zgłaszania podatności, mechanizmów automatycznego filtrowania oraz skutecznych metod oceny jakości raportów. Bez tych zmian decyzje o wycofaniu się z programu innych projektów, jak cURL, mogą stać się normą wpływając nie tylko na projekty open source, lecz podważając również cały model crowdsourcingowego bezpieczeństwa.