cURL Hentikan Program Bug Bounty Akibat Serangan Laporan AI Palsu

cURL, proyek open-source terkemuka yang menyediakan utilitas transfer data krusial, telah resmi menghentikan program bug bounty mereka. Keputusan drastis ini diambil menyusul lonjakan laporan kerentanan palsu dan kode tidak berfungsi yang dihasilkan oleh Model Bahasa Besar (LLM), yang secara signifikan membebani tim pengembang dan mengancam kesejahteraan mental para maintainer. Penghentian program ini berlaku segera, mengakhiri insentif bagi peneliti keamanan eksternal.

Program bug bounty merupakan inisiatif penting dalam ekosistem keamanan siber, memungkinkan peneliti independen untuk menemukan dan melaporkan potensi kerentanan dalam perangkat lunak sebagai imbalan. Namun, menurut tim cURL, gelombang laporan dari AI generatif ini seringkali tidak valid, berisi kerentanan yang tidak ada atau kode yang tidak dapat dikompilasi, menghabiskan waktu dan sumber daya berharga para maintainer yang seharusnya fokus pada pengembangan inti dan perbaikan bug sebenarnya. Fenomena "sampah AI" ini menyoroti tantangan baru dalam crowdsourced security di era AI generatif, di mana kuantitas laporan palsu dapat dengan mudah melampaui kemampuan proyek untuk meninjaunya secara efektif.

Penghentian program bug bounty cURL menimbulkan pertanyaan serius mengenai masa depan keamanan proyek open-source yang sangat bergantung pada kontribusi komunitas. Meskipun bertujuan untuk menjaga "kesehatan mental" tim inti dan efisiensi operasional, keputusan ini berpotensi mengurangi pengawasan keamanan eksternal terhadap cURL, sebuah pustaka yang digunakan secara luas di miliaran perangkat dan aplikasi di seluruh dunia. Hal ini juga menjadi peringatan bagi proyek lain mengenai dampak negatif penggunaan AI secara ceroboh dalam pengujian keamanan, berisiko mengalihfungsikan alat berharga menjadi sumber "sampah" digital yang justru merugikan upaya peningkatan keamanan siber global.