cURL dice basta alle segnalazioni prodotte usando l'AI

Negli ultimi anni il mondo open source si è trovato ad affrontare un fenomeno nuovo e inaspettato: l’invasione di segnalazioni di bug generate dall’intelligenza artificiale. Un’ondata che, anziché rafforzare la sicurezza del software, sta mettendo in difficoltà i maintainer, sommersi da report privi di fondamento tecnico. Il caso del software open source cURL è emblematico, tanto che lo sviluppatore Daniel Stenberg ha definito la situazione con un’espressione diventata ormai celebre: “death by a thousand slops”.

Con AI slop si intende il rumore di bassa qualità prodotto dall’intelligenza artificiale, come testi, analisi o segnalazioni generate automaticamente che sembrano plausibili ma sono imprecise, errate o prive di reale valore.  Non si tratta di un problema marginale: sono molti i progetti che rischiano la prosecuzione delle attività proprio per via delle segnalazioni troppo frequenti e, spesso, fuori luogo.

La decisione radicale: stop ai bug bounty

Come osserva Stenberg, ogni report, anche il più infondato, richiede tempo per essere analizzato, verificato e infine scartato. Il lavoro ricade su un numero ristretto di maintainer volontari, che vedono svanire energie preziose che potrebbero invece essere destinate al reale sviluppo del progetto. In altre parole, il costo della “spazzatura algoritmica” non è monetario, ma umano.

Per arginare questa deriva, cURL ha deciso di eliminare completamente i pagamenti legati ai bug bounty a partire dalla fine di gennaio 2026. L’obiettivo dichiarato è semplice: rimuovere uno degli incentivi principali che spinge alla produzione seriale di segnalazioni di bassa qualità.

Nel corso degli anni, il progetto ha pagato 87 bug bounty per un totale di poco più di 100.000 dollari. Una cifra modesta se rapportata all’importanza strategica di cURL, utilizzato in milioni di sistemi e applicazioni. Eppure, proprio quel meccanismo di ricompensa economica sembra aver attirato un numero crescente di segnalazioni opportunistiche, spesso generate senza reale comprensione del codice.

L’intelligenza artificiale non è, di per sé, il problema. Stenberg stesso ammette che oltre un centinaio di segnalazioni valide sono nate con il supporto di strumenti AI. La differenza sta nel fattore umano: l’uso consapevole e critico dell’AI come strumento di supporto, non come sostituto del ragionamento tecnico.

Il punto di vista dei cacciatori di vulnerabilità

Su questo tema interviene una figura ben nota in fatto di sicurezza informatica, Joshua Rogers, noto per aver individuato numerose vulnerabilità reali proprio grazie a un uso avanzato dell’AI.

A differenza di molti altri, Rogers non si limita a “rigirare” output automatici: analizza, corregge e integra i risultati prima di inviarli.

Paradossalmente, ma in realtà di paradossale non c’è nulla, è proprio lui a sostenere con forza la decisione di Stenberg con lo stop al suo programma bug bounty. Secondo Rogers, il vero incentivo per chi è davvero in grado di scoprire vulnerabilità critiche, non è qualche migliaio di dollari, ma la reputazione. Essere associati a una scoperta rilevante in un progetto come cURL ha un valore, in termini di popolarità e autorevolezza, immensamente superiore a qualsiasi ricompensa monetaria.

Verso un nuovo modello di collaborazione aperta

La scelta di cURL potrebbe fare scuola. Molti altri progetti open source stanno affrontando lo stesso problema e osservano con attenzione gli effetti della decisione.

È probabile che il futuro non sia un ritorno al passato, ma l’emergere di modelli ibridi, in cui l’AI sia integrata in processi di triage più rigorosi e dove il riconoscimento del valore passi sempre più dalla reputazione e meno dal denaro.

L’AI può essere un alleato potente, ma senza competenza umana diventa solo rumore. E, per l’open source, il rumore è un lusso che non ci si può più permettere.