cURL menghapus program bug bounty

(etn.se)

7 poin oleh GN⁺ 2026-01-22 | 2 komentar | Bagikan ke WhatsApp

Library open-source cURL mengakhiri program bug bounty untuk menahan lonjakan laporan bug tak bermakna yang dihasilkan AI
Maintainer Daniel Stenberg menjelaskan bahwa sebagian besar laporan buatan AI adalah "kebohongan murni", dan verifikasinya memakan banyak waktu
Mulai akhir Januari, cURL menghentikan pembayaran hadiah, setelah sebelumnya membayar total US$101.020 untuk 87 laporan
Peneliti keamanan Joshua Rogers telah memanfaatkan alat AI untuk mengajukan laporan yang benar-benar valid, tetapi menilai keputusan ini sebagai "langkah yang sangat bijak"
Ia mengatakan bahwa motivasi sebenarnya bukan uang, melainkan reputasi dan pencapaian teknis, serta menyebut proyek lain juga perlu mempertimbangkan langkah serupa

Keputusan cURL mengakhiri bug bounty

Library kode open-source cURL menghentikan imbalan finansial untuk laporan bug
- Tujuannya adalah menekan lonjakan laporan palsu buatan AI (AI slop)
- Maintainer Daniel Stenberg mengatakan, "AI slop dan laporan yang tidak akurat terus bertambah, dan jika banjir ini tidak dihentikan, kita akan tenggelam"
cURL mengakhiri pembayaran bounty per akhir Januari
- Ia menjelaskan, "Terlalu banyak waktu terbuang karena temuan yang sebenarnya tidak ada, dibesar-besarkan, atau disalahpahami"

Masalah dan dampak laporan buatan AI

Belakangan ini, beban kerja cURL meningkat tajam akibat laporan bug yang dibuat otomatis oleh AI
- Sebagian besar laporan buatan AI terbukti tidak bermakna atau keliru
- Proses membedakan laporan seperti ini memakan waktu dan menjadi beban besar bagi maintainer
Stenberg sebelumnya telah membahas masalah ini secara terbuka melalui tulisan tahun 2025 berjudul "Death by a thousand slops"

Contoh positif laporan berbantuan AI

Tidak semua laporan yang dibuat dengan bantuan AI tidak bernilai
- Stenberg menyebutkan bahwa lebih dari 100 laporan berbantuan AI memang berujung pada perbaikan kode nyata
Sejauh ini, cURL telah membayar total US$101.020 dalam bounty untuk 87 laporan bug
- Tanpa bounty, beberapa laporan mungkin tidak akan pernah ditemukan (tanpa analisis tambahan)

Pandangan peneliti keamanan Joshua Rogers

Joshua Rogers adalah peneliti yang telah memanfaatkan alat AI untuk mengajukan banyak laporan bug yang valid ke proyek open-source
- Ia meninjau hasil analisis AI, lalu memperbaiki dan melengkapinya sendiri sebelum mengirimkan laporan
Rogers menilai keputusan cURL kali ini sebagai "langkah bagus yang seharusnya sudah dilakukan sejak lama"
- Ia juga mengatakan, "Justru aneh program ini bisa bertahan selama itu"
Menurutnya, "Jika bug bounty hilang, sebagian motivasi memang akan berkurang, tetapi laporan penting tetap akan diajukan"

Ketimpangan antara imbalan dan motivasi

Rogers menekankan bahwa "fame" adalah motivasi yang sebenarnya, sementara imbalan uang hanya faktor sekunder
- Bounty maksimum cURL adalah US$10.000, jumlah yang tidak terlalu besar bagi pakar yang mampu menemukan kerentanan serius
Namun, ia juga menyoroti ketimpangan ekonomi
- Imbalan yang sama bisa sangat berarti bagi peneliti di wilayah berpendapatan rendah
- Ia menjelaskan, "Imbalan yang setara harga makan siang di Swedia bisa menjadi jumlah yang sangat besar di beberapa wilayah lain"

Tantangan bersama ekosistem open-source

Menurut artikel tersebut, proyek open-source lain juga menderita akibat banjir laporan buatan AI
Keputusan cURL ini berpotensi memicu diskusi baru soal pengendalian kualitas dan cara pengelolaan komunitas di era AI (tanpa penjelasan tambahan)

2 komentar

xguru 2026-01-22

Industrialisasi pembuatan exploit untuk peretasan berbasis LLM semakin dekat

Sejalan dengan ini, rasanya kita sedang mendekati titik di mana LLM mau tidak mau harus diterapkan di banyak bidang.
Bahkan untuk menghentikan para peretas yang menggunakan LLM, kita juga perlu menyerahkan verifikasi keamanan kepada LLM.

GN⁺ 2026-01-22

Komentar Hacker News

Sepertinya masalah seperti ini bisa cepat dicegah jika diberlakukan biaya partisipasi yang dikembalikan bila bug tersebut terbukti benar-benar penting
Saya pernah melaporkan celah pada metode login bank yang memungkinkan perubahan dari kombinasi kata sandi+PIN menjadi hanya PIN, tetapi ditutup dengan alasan “perilaku yang memang dimaksudkan”
Saya belajar bahwa lembaga yang sangat diatur seperti rumah sakit atau bank cenderung fokus pada ‘kepatuhan regulasi’ daripada keamanan yang sesungguhnya
Jika penyelenggara bug bounty menjalankannya dengan itikad baik, hambatan masuk atau penalti seperti ini mungkin bisa menyaring pelapor yang berniat buruk
- Bug bounty adalah struktur dengan risiko tinggi bagi pelapor
  Reviewer sering salah memahami isi laporan, atau aturannya kerap ambigu
  Jika peserta harus membayar biaya, risikonya jadi lebih besar
  Saat dulu saya pernah berada di pihak penyelenggara, laporan yang berantakan sudah sangat banyak, dan sekarang dengan AI mungkin jauh lebih parah
  Dari sudut pandang pelapor juga sulit mendapatkan jaminan penilaian yang adil, dan kemungkinan laporan itu duplikat juga tinggi
- Kenyataan menyedihkan adalah lembaga yang sangat diatur sering hanya menjaga tingkat minimum agar tidak ketahuan, bukan keamanan yang sesungguhnya
  Dulu ada bank di UE yang hanya mengizinkan login tanda tangan elektronik dengan SHA-1, padahal algoritma itu sudah ditinggalkan sejak 10 tahun sebelumnya
  Perangkat lunak penyedia identitas tersertifikasi pemerintah langsung crash kalau YubiKey terpasang
  Padahal perangkatnya mengikuti standar, tetapi pengembang membuat asumsi di luar standar
  Saya melaporkan bug itu, tetapi hanya mendapat jawaban “bukan masalah kami”
- Inti bug bounty adalah mendorong pelaporan kerentanan kepada pengembang
  Tetapi kalau untuk melapor harus bayar, dan pengembalian dana atau kompensasinya juga tidak pasti, maka menjualnya ke pihak lain bisa terasa lebih menarik
- Sistem biaya partisipasi akan sangat meningkatkan kompleksitas operasional
  Daniel dari cURL sudah beberapa kali mempertimbangkan ide seperti ini, tetapi pada akhirnya menilai hal itu tidak realistis
- Saya juga sampai pada kesimpulan yang sama setelah melihat kasus GrapheneOS
  Perangkat tidak aman yang tersertifikasi bisa memakai semua fitur aplikasi, tetapi GrapheneOS yang merupakan OS paling aman justru dibatasi karena “tidak tersertifikasi”
  Pada akhirnya masalahnya bukan keamanan, melainkan sistem sertifikasinya
Open source tampaknya paling dirugikan oleh AI
Kode open source dipakai untuk melatih model, lalu sekarang model itu membanjiri proyek open source dengan spam
Selain itu AI mengimplementasikan fitur berbayar dan menggerus model bisnis open source, dan pada akhirnya mungkin bisa menggantikan kode open source itu sendiri
- AI adalah entitas yang membunuh seluruh penggerak open source
  AI mematikan motivasi untuk berkontribusi, memelihara, belajar, berkolaborasi, dan membangun bisnis
  Bahkan bentuk kerja tradisional dengan kode tertutup pun ikut runtuh
  Pada akhirnya jadinya tiga perusahaan Amerika bersaing untuk menjual ulang hasil kerja masa lalu kita dalam bentuk langganan
- Sejak era AI, orang-orang yang sebenarnya tidak paham kode membanjiri repo besar demi mendapatkan badge kontributor
  Dulu kontribusi gaya pencitraan seperti ini juga sudah ada, tetapi sekarang skalanya benar-benar berbeda
- Jika tren ini berlanjut, program seperti Google Summer of Code tampaknya juga perlu perombakan besar-besaran
  Dulu mahasiswa mencari proyek sendiri dan berkontribusi langsung sehingga proses penyaringannya terjadi secara alami, tetapi jika AI yang menggantikannya, filter itu hilang
- Menyedihkan bahwa AI mengguncang model bisnis open source, tetapi tak seorang pun punya hak atas sebuah model bisnis
  Jika dunia menjadi lebih kompetitif, runtuhnya model berbasis open-core adalah hal yang alami
- Model tidak dilatih hanya dari kode open source
  Materi ajar, kuliah, dokumentasi resmi, dan lain-lain juga termasuk
  Dulu saya meminta Claude menambahkan fitur GUI untuk memulihkan data dari perangkat Android lama, dan hasilnya bekerja cukup baik
  Kodenya menyimpang dari arah proyek aslinya, jadi saya tidak mengunggahnya kembali ke GitHub
Dari sudut pandang hacker white-hat, imbalan bug bounty memang tidak besar, tetapi ada makna ikut serta sebagai pilihan moral
Sebaliknya, jika kerentanannya bisa dieksploitasi, itu juga bisa dijual ke pembuat malware yang membayar lebih mahal
- Tetapi secara realistis, bertransaksi dengan pembuat malware hampir mustahil
  Karena tidak ada rasa saling percaya, diperlukan prosedur rumit seperti escrow kripto, pencucian dana, dan lain-lain
  Melakukan transaksi seperti itu tanpa persetujuan pemerintah juga membawa risiko hukum
  Pada akhirnya saya rasa pasar seperti itu sulit benar-benar berjalan
- Mungkin saja para pembuat malware juga sedang kesulitan menyaring laporan sampah buatan AI
Hackerone punya sistem reputasi untuk para hacker
Rasanya akan bagus jika mereka menjalankan program privat yang hanya mengundang hacker terverifikasi, tetapi saya tidak tahu kenapa tidak begitu
- Tetapi jika semua proyek melakukannya, hacker baru akan kehilangan kesempatan untuk membuktikan diri
  Pada akhirnya hambatan masuk ke ekosistem bisa menjadi terlalu tinggi
Selain imbalan uang, ada juga motivasi seperti reputasi atau mendapatkan CVE
Di blognya, Stenberg beberapa kali membahas contoh kerentanan yang dibesar-besarkan, dan sebagian tampak seperti pelebihan yang disengaja demi reputasi
Motivasi seperti ini sulit ditangani lewat desain insentif
Ada video yang menunjukkan latar belakang masalah ini → tautan YouTube
- Saya sempat mau menontonnya, tetapi akhir-akhir ini gaya bicara dan gestur YouTube yang berlebihan terasa sangat melelahkan, jadi cepat saya tutup
  Mikrofon besar, gestur berlebihan, dan ungkapan bombastis seperti “awesome” atau “insane” yang mendominasi sepanjang percakapan terasa menguras energi
Pernyataan bahwa “imbalan setara harga makan siang di Swedia pun besar bagi orang di negara berpendapatan rendah” terdengar seperti klaim yang berlebihan
Makan siang di pusat Stockholm sekitar 200 krona, dan orang dengan keterampilan seperti itu rasanya tidak mungkin menganggap jumlah itu sebagai ‘uang besar’
- Tetapi dari sudut pandang negara berkembang, batas atas 10.000 dolar bisa setara beberapa tahun upah minimum
  Meskipun ada unsur berlebihan, perbedaannya tetap tidak bisa diabaikan
Bug bounty di perusahaan kami pada dasarnya cuma satu alamat email keamanan, tetapi setiap hari masuk lebih dari 100 email spam
Sebagian besar adalah laporan pentest palsu yang dibuat AI, penuh kerentanan fiktif dan informasi yang salah
Bahkan pernah ada sales yang mencoba menjadwalkan rapat tiga jam, sementara laporannya mencantumkan bug IIS yang tidak ada dan alamat IP yang mustahil
Saat itu saya benar-benar kehabisan kata-kata
Dulu mencari bug itu lambat dan sulit sehingga butuh insentif, tetapi sekarang justru lebih sulit memilah bug yang benar-benar nyata
Sampai ada lelucon tentang AI bug hunter: “dari 100, cuma 3 yang benar”
- Tetapi pencarian kerentanan serius tetap ranah manusia
  Kerentanan pada codebase seperti cURL atau eksploit biner masih belum bisa dilakukan AI
- Pada akhirnya, proses menentukan apakah suatu bug benar-benar valid tetap lambat dan melelahkan
Daftar laporan sampah buatan AI yang diterima cURL dipublikasikan → tautan gist
- Pada laporan kedua, Daniel mencoba menanggapi dengan ramah, tetapi lawan bicaranya bahkan salah menyebut namanya
  Itu terjadi pada Desember 2023, jadi rasanya dia pasti sudah sangat lelah
- Saya membaca beberapa di antaranya, dan sulit membedakan apakah itu ditulis AI atau mahasiswa pemula
  Meski begitu, LLM terdengar lebih meyakinkan
- Saya tertawa saat melihat kalimat “Saya mencari kerentanan ini di Bard”
  Menyebut Bard sebagai LLM terasa aneh dengan cara yang unik
- Jelas semuanya ditulis AI, jadi justru terasa aneh melihat staf menanggapinya dengan serius
- Sejujurnya, hanya dengan membacanya saja sudah sangat menjengkelkan
  Mengejutkan bahwa cURL bisa begitu lama bersabar dan tetap menanggapinya