cURL Hentikan Program Bug Bounty Akibat Serangan Laporan AI Palsu

Proyek perangkat lunak open-source cURL secara resmi menghentikan program bug bounty mereka menyusul gelombang laporan kerentanan berkualitas rendah yang membanjiri sistem mereka, yang sebagian besar dihasilkan oleh kecerdasan buatan (AI) generatif. Keputusan ini diambil oleh tim pengembang untuk melindungi kesehatan mental mereka yang kewalahan menyaring "sampah" informasi dari sistem pelaporan.

cURL, sebuah utilitas baris perintah dan pustaka (libcurl) yang krusial untuk transfer data internet, menjadi fondasi tak terhitung jumlahnya aplikasi, sistem operasi, dan perangkat IoT di seluruh dunia. Program bug bounty dirancang untuk memperkuat keamanannya dengan mendorong peneliti eksternal melaporkan kelemahan. Namun, tim pengembang menghadapi lonjakan drastis dalam laporan yang diserahkan oleh model bahasa besar (LLM) yang menghasilkan kerentanan palsu atau potongan kode yang bahkan tidak dapat dikompilasi. Beban untuk menyaring "sampah" ini secara signifikan menguras waktu dan energi para kontributor inti, yang mayoritas adalah sukarelawan, dan mengancam produktivitas mereka.

Keputusan cURL ini bukan hanya menunjukkan tantangan unik yang dihadapi proyek open-source dengan sumber daya terbatas, tetapi juga menjadi peringatan bagi industri keamanan siber secara keseluruhan. Kehadiran AI generatif yang belum memiliki kemampuan validasi kerentanan yang matang, berpotensi merusak efektivitas dan efisiensi program bug bounty secara luas. Proyek-proyek lain yang mengandalkan kontribusi komunitas mungkin akan mempertimbangkan ulang strategi keamanan mereka di tengah peningkatan "noise" dari laporan berbasis AI, serta pentingnya menjaga kesejahteraan pengembang dari beban kerja yang tidak produktif dan berulang.