To miał być scenariusz science-fiction: maszyny atakujące infrastrukturę ludzkości. Rzeczywistość 2026 roku okazała się bardziej prozaiczna i irytująca.
Atakiem nie są lasery, ale tony generowanego przez AI spamu. Daniel Stenberg, twórca cURL – narzędzia, na którym stoi połowa internetu – ogłosił zamknięcie programu Bug Bounty. Powód? Jego zespół tonie w fałszywych zgłoszeniach generowanych przez chatboty.
DDoS na uwagę programistów
cURL to jedno z najważniejszych narzędzi w historii internetu. Służy do transferu danych i znajduje się w miliardach urządzeń – od serwerów Google po twój samochód. Do tej pory projekt płacił niezależnym badaczom za znajdowanie luk bezpieczeństwa (Bug Bounty).
22 stycznia Daniel Stenberg powiedział: dość.
„Jesteśmy małym projektem open source z niewielką liczbą aktywnych opiekunów. Nie mamy mocy, by zmienić to, jak działają ci ludzie i ich maszyny do produkcji pomyj (slop machines). Musimy podjąć kroki, by zapewnić sobie przetrwanie i zachować zdrowie psychiczne” – napisał Stenberg.
Program nagród zostaje zamknięty z końcem miesiąca.
Halucynacje zamiast błędów
Problem nie leży w samej sztucznej inteligencji, ale w „łowcach nagród”, którzy bezmyślnie wklejają kod cURL do ChatGPT lub Google Bard, pytają „znajdź błąd”, a potem wysyłają wynik do twórców, licząc na łatwą kasę.
Efekty są tragikomiczne. Zespół cURL otrzymuje setki raportów o błędach, które:
- Dotyczą funkcji, które nie istnieją.
- Zawierają przykłady kodu, który choćby się nie kompiluje.
- Powołują się na zmyślone luki bezpieczeństwa (hallucinated CVEs).
Weryfikacja każdego takiego zgłoszenia zajmuje czas ekspertów. W efekcie, zamiast poprawiać kod, inżynierowie walczą ze spamem. Stenberg zapowiedział, iż od dzisiaj osoby marnujące czas zespołu będą „publicznie wyśmiewane i banowane”.
AI może pomagać (gdy używa jej człowiek z wiedzą)
Decyzja jest o tyle bolesna, iż Stenberg nie jest wrogiem AI. Jeszcze we wrześniu chwalił badacza Joshuę Rogersa, który używając narzędzi AI (ZeroPath) w sposób inteligentny, znalazł i pomógł naprawić 22 realne błędy.
Różnica polega na intencji i kompetencjach. Rogers użył AI jako „wzmacniacza” swoich umiejętności. Tysiące domorosłych „hakerów” używa AI jako generatora losowych zgłoszeń, licząc na łut szczęścia.
System odpornościowy internetu słabnie
Decyzja cURL to niebezpieczny precedens. Programy Bug Bounty to system odpornościowy systemu – pozwalają wyłapać luki, zanim zrobią to przestępcy. jeżeli kolejne projekty open source (Linux, Apache, OpenSSL) pójdą drogą cURL i zamkną się na zgłoszenia z zewnątrz z powodu zalewu „AI slop”, bezpieczeństwo całej globalnej sieci może na tym ucierpieć.
Clawdbot – AI, które naprawdę „robi rzeczy”. Viticci zachwycony, my ostrzegamy: to zabawa z odbezpieczonym granatem
Jeśli artykuł „AI slop” niszczy open source. Twórca cURL zamyka program nagród, by „zachować zdrowie psychiczne” nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
