🛡️Satisfait ou remboursé — Setup remboursé si pas satisfait après 30 jours

Deepthix
← Retour au blog
securite27 janvier 2026

cURL abandonne son programme bug bounty : l'IA a gagné... la bataille du spam

Le créateur de cURL met fin au programme de récompenses après une invasion de rapports générés par IA. Un signal d'alarme pour l'écosystème open source.

La goutte d'eau qui fait déborder le vase

Daniel Stenberg, créateur de cURL — l'outil en ligne de commande utilisé par des milliards d'appareils — vient d'annoncer la fin du programme bug bounty du projet. La raison ? Un déluge de rapports générés par IA, appelés "AI slop", qui submerge l'équipe de maintenance.

En seulement 16 heures début janvier 2026, 7 rapports ont été soumis sur HackerOne. Certains concernaient de vrais bugs, mais aucun n'était une faille de sécurité. Au total, 20 soumissions en janvier — la plupart du bruit inutile.

Quand l'IA devient un problème

Le phénomène n'est pas nouveau. Dès mai 2025, cURL était déjà confronté à ce problème. Daniel Stenberg avait menacé de bannir quiconque soumettrait des rapports générés par IA. Mais les avertissements n'ont pas suffi.

Le problème est simple : des "chasseurs de bugs" utilisent des LLM pour générer en masse des rapports de vulnérabilités. Ils espèrent toucher la récompense sans vraiment comprendre le code. Résultat : les mainteneurs passent plus de temps à trier des déchets qu'à corriger de vrais bugs.

La nouvelle politique

Le programme se termine officiellement le 31 janvier 2026. Après cette date :

  • Les failles de sécurité peuvent toujours être signalées via GitHub ou la mailing list
  • Plus aucune récompense financière
  • L'équipe se réserve le droit de "ridiculiser publiquement" les soumissions AI slop

Daniel Stenberg est direct dans son avertissement :

"Vous ne devriez JAMAIS signaler un bug ou une vulnérabilité sans vraiment le comprendre — et pouvoir le reproduire. Si vous le faites quand même, je me permettrai de me moquer de vous."

Ce que ça signifie pour l'open source

Cette décision révèle un problème plus large : l'IA facilite la pollution des processus de contribution open source. Quand n'importe qui peut générer un rapport en 30 secondes avec ChatGPT, les mainteneurs bénévoles croulent sous le travail de tri.

D'autres projets, comme LLVM, ont choisi une approche différente : accepter le code généré par IA, mais avec une politique "human in the loop" qui responsabilise le contributeur. La question se pose : faut-il vérifier systématiquement si une contribution est humaine ?

La leçon à retenir

Le cas cURL illustre un paradoxe de l'ère IA : les outils censés améliorer la productivité peuvent aussi amplifier la nuisance. Sans incitation financière, les spammeurs AI n'ont plus d'intérêt à cibler cURL. Mais pour les projets qui maintiennent leurs bounties, le problème ne fait que commencer.

Pour les développeurs, le message est clair : la qualité bat la quantité. Un rapport bien documenté vaut mille soumissions générées par IA.

curlbug-bountyiaopen-sourcesecuritehackeronespam

Tu veux automatiser tes opérations ?

Discutons de ton projet en 15 minutes.

Réserver un call