Avete presente i programmi bug-bounty destinati a cacciatori non tanto di taglie, quanto di problematiche di sicurezza relative ai vari progetti open-source? Tenendo sempre a mente la regola di Linus Torvalds secondo cui con sufficienti occhi ogni bug viene a galla, i programmi di bug-bounty incentivano l’aumento dei controlli mediante dei riconoscimenti di natura economica, il cui valore in genere deriva dalla gravità del bug rilevato.

Dipendentemente dal progetto, ci si può più o meno arricchire quindi, ed è chiaro che simili opportunità diventano ghiotte anche per quanti non hanno magari le competenze per analizzare nel dettaglio il codice, ma sanno invece come utilizzare strumenti di analisi, magari forniti dalle intelligenze artificiali.

La realtà è che in un contesto come quello dello sviluppo, la ricerca non è mai banale, lo dimostra l’articolo che abbiamo pubblicato qualche settimana fa a proposito di quanto ci mette ad essere identificato un bug del Kernel Linux, senza poi parlare di come affidandosi unicamente all’intelligenza artificiale i problemi sono sia di natura quantitativa – ricorderete la pull request “made in AI” da 13k rifiutata del progetto open-source OCaml – oltre che qualitativa – vedi il sondaggio che certifica come il codice delle AI richieda più correzioni per la scarsa qualità.

Se ne sono accorti anche nel progetto curl, e qui arriviamo alla notizia di oggi: il suo principale maintainer, Daniel Stenberg, ha annunciato in un articolo la sospensione del programma di bug-bounty.

Una scelta fatta con qualche rammarico, poiché nel complesso il programma ha servito al suo scopo, producendo 87 vulnerabilità verificate e riconoscimenti che hanno superato i centomila dollari, ma purtroppo la gestione di queste segnalazioni è diventata insostenibile.

Il motivo, come detto, è il proliferare delle segnalazioni mediante AI che, come indica un report di HackerOne, il progetto curl subisce molto più di altri progetti open-source, come Ruby, Node e Rails:

Il motivo, secondo Stenberg, potrebbe essere proprio la disponibilità di riconoscimenti economici che, come si diceva, ingolosiscono al punto da spingere le persone alla produzione di questi “sloppy AI reports“, che fanno perdere un sacco di tempo a chi li deve revisionare e nella maggioranza, se non la totalità, dei casi sono totalmente inutili.

Da qui la scelta di sospendere i riconoscimenti e la valutazione, al momento scartata per ragioni principalmente logistiche e gestionali, di far pagare l’immissione di segnalazioni.

Almeno per ora quindi, il programma di bug-bounty per curl viene sospeso, in attesa di tempi migliori. Tempi in cui si tornerà ad utilizzare il proprio cervello anziché quello degli LLM.