cURL 因 AI 生成的「垃圾報告」而取消錯誤懸賞

cURL removes bug bounties

Open source code library cURL is removing the possibility to earn money by reporting bugs, hoping that this will reduce the volume of AI slop reports. Joshua Rogers – AI wielding bug hunter of fame – thinks it's a great idea.

cURL has been flooded with AI-generated error reports. Now one of the incentives to create them will go away.

The vast majority of AI-generated error reports submitted to cURL are pure nonsense. Other open source projects are caught in the same pandemic.

cURL maintainer Daniel Stenberg made an impact with his reporting on AI-generated bug reports last year – ”Death by a thousand slops.”

Determining that they are nonsense is time-consuming, causing the maintainers lots of extra work.

”AI slop and bad reports in general have been increasing even more lately, so we have to try to brake the flood in order not to drown”, says cURL maintainer Daniel Stenberg to Swedish electronics industry news site etn.se.

Therefore, cURL is terminating the bounty payouts as of the end of January.

“We hope this removes some of the incentives for people to send us garbage. We spend far too much time handling slop due to findings that are not real, exaggerated, or misunderstood.”

Not all AI-generated bug reports are nonsense. It’s not possible to determine the exact share, but Daniel Stenberg knows of more than a hundred good AI assisted reports that led to corrections.

In total, 87 bug reports to cURL have over the years amounted to USD 101,020 in bounties.

How many of them would have gone under the radar if the bounty money had not existed?

Elektroniktidningen passes that question on to debugging champion Joshua Rogers, who last year flooded open source projects with bug reports – good reports.

Interestingly, his reports were generated with the help of AI tools. But he doesn’t just vibe along in the dark — he reviews and adds to AI's analysis before submitting anything.

Despite being an active code vulnerabilities hunter himself, he thinks removing the bounty money is a stellar idea ; something that should have been done a long time ago. He documented that view in a 2025 year-end posting.

“I think it's a good move and worth a bigger consideration by others. It's ridiculous that it went on for so long to be honest, and I personally would have pulled the plug long ago,” he says to etn.se.

But without the bounties an incentive to do code reviews disappears?

”An incentive, but not all,” he comments, ”especially for anything that will be reported which actually matters”.

So you think the effect won’t be that big?

“Not much. The real incentive for finding a vulnerability in cURL is the fame ('brand is priceless'), not the hundred or few thousand dollars. $10,000 (maximum cURL bounty) is not a lot of money in the grand scheme of things, for somebody capable of finding a critical vulnerability in curl.”

He realizes, though, that not everyone might share that attitude.

“My view is that there is an asymmetric relationship between developers (open source or not) and so-called "security researchers" (or even real security researchers). Regardless of whether the researchers are in expensive or cheap countries, the value provided to the developer is the same. However, on the flipside, the value of a bounty is not the same for every reporter -- in low socio-economic locations, a reward which would be the cost of lunch in Sweden can be massive for those low socio-economic-located people,” says Joshua Rogers.

Prenumerera på Elektroniktidningens nyhetsbrev eller på vårt magasin.

Det svenskledda kodbiblioteket Curl tar bort möjligheten att tjäna pengar på att rapportera buggar och hoppas att det ska minska volymen av AI-slaskrapporter. Buggjägaren Joshua Rogers – som själv flitigt använder debug-bottar –  tycker att det är en bra idé.

EU-kommissionen har läggt fram en uppdaterad version av cybersäkerhetsakten. Den vill förbjuda kinesiska produkter i kritisk infrastruktur. Om förslaget antas skulle det innebära att länder som inte implementerat EU:s så kallade verktygslåda nu tvingas sätta stopp för Huawei, ZTE och andra kinesiska leverantörer i 5G-näten.

Amerikanska Risc V-pionjären Sifive integrerar Nvidias datalänkteknik NV-link Fusion i sin data­center-IP. Därmed kan vi komma att få se AI-datacenter med Risc V-cpu:er som pratar med Nvidias AI-acceleratorer.

Mobilindustrin tar nu sats för ny stor expansion med hjälp av globala satellitsystem. Amerikanska Starlink ligger i täten med en lösning som visar vad detta handlar om, att kommunicera direkt med vanliga mobiltelefoner utan att gå via någon landbaserad basstation i mobilnätet.

S12 är en ultrakompakt sensor för CO₂-mätning från Senseair. Den är utvecklad för batteridrivna och trådlösa system som mäter luftens kvalitet i byggnader.

Kina kommer att kräva att elbilens batteri sitter kvar i fordonet vid skrotning. Det kommer att får effekter på marknaden för återvinning och återanvändning av batterierna.

Under det senaste året har snabbladdandet ökat vilket satt ett dramatiskt avtryck på elbilsbatteriernas livslängd. Analysen kommer från telematikföretaget  Geotab.

USA och Kanada har inte längre en enad handelsfront mot Kina efter att Kanadas och Kinas ledare skakat hand om en friare handel med bland annat elbilar och energiteknik. Polestar, Volvo och Tesla hoppas snabbt kunna återställa sin försäljning.

Amerikanska Micron har tecknat en avsiktsföklaring om att köpa en halvledarfabrik i Taiwan av foundryt PSMC, Powerchip Semiconductor Manufacturing Corporation. För 1,8 miljarder dollar får minnesjätten ett toppmodernt renrum på 2 800 kvadratmeter med 300 mm-maskiner.

Genom att mäta armarnas rörelser med vad som kan beskrivas som två aktivitetsarmband går det att upptäcka ett strokeinsjuknande och automatiskt skicka ett larm. Lundabolaget Uman Sense håller på att kommersialisera tekniken som just nu testas på åtta svenska sjukhus.

Den amerikanska minnestillverkaren Micron startar officiellt bygget av sin nya megafabrik i delstaten New York idag sedan alla nödvändiga tillstånd är beviljade.

Kinesiska tullmyndigheter meddelade denna vecka sina tulltjänstemän att Nvidias kontroversiella processor H200 inte får tas in i Kina. Det har tre personer med insyn berättat för nyhetsbyrån Reuters.

Efter att ha tagit fram, och under två år testat, en lösning för automatiskt batteribyte för tunga lastbilar, vill ett tyskt konsortium bygga ett nätverk av standardiserade serieproducerbara batterimackar i Europa.

Uppsala Innovation Centre, UIC, och Flygvapnet har startat ett samarbete som ska underlätta för uppstartsbolagen att hitta behovsägare inom Försvarsmakten och initiera pilotprojekt.

Så sent som i somras köpte amerikanska Globalfoundries IP-leverantören Mips. Nu får Risc V-kärnorna sällskap av Arc:s kärnor, som Synopsys säljer till foundryt.

Uppstartsbolaget Altris tar rygg på amerikanska Natron Energy genom att välja den tjeckiska kemikoncernen Draslovka som tillverkare av sitt natriumjonbaserade katodmaterial. Avtalet ger en kapacitet motsvarande 175 MWh per år.

Genom att kombinera en vektornätverksanalysator (VNA) och ett oscilloskop går det att göra en komplett verifiering av den fysiska Ethernetlänken. Lösningen kommer från japanska Anritsu som använt ett oscilloskop från amerikanska Tektronix.

Robotkretsarna, som är en sextondels kvadramillimeter, är utrustade med processor, solcell, ljussensor, två tempsensorer och en jonmotor. I volym skulle de kosta en tioöring.

Telekomjätten Ericsson vill minska sin personalstyrka i Sverige med omkring 1 600 personer, ungefär 12 procent av de anställda. Enligt pressmeddelandet är varslet en del av åtgärder för att säkerställa företagets konkurrenskraft.

Efter Nvidia, AMD och Broadcom sällar sig nu även Cerebras till listan av företag som ska leverera AI-kapacitet till OpenAI. Avtalet är värt upp till 10 miljarder dollar (motsvarande 750 MW effekt) skriver Reuters och leveranser ska starta redan i år.

Halvledarindustrin är inte van vid att framställas som en miljöbov. Den är motorn bakom de flesta...

Stora språkmodeller (LLM:er) och tjänster baserade på dessa som ChatGPT och Gemini är lysande...

Historiskt sett var elektronik som var avsedd för farliga miljöer, så kallad egensäker (IS)...

Amerikanska Risc V-pionjären Sifive integrerar Nvidias datalänkteknik NV-link Fusion i sin data­center-IP....

S12 är en ultrakompakt sensor för CO₂-mätning från Senseair. Den är utvecklad för batteridrivna...

P100 heter en ny x86-processorfamilj bestyckad med Zen 5-cpu:er, RDNA 3.5-gpu:er och sist men inte...

Indiska halvledarbolaget LTSCT tecknar licens med taiwanesiska Andes Technology på deras Risc V. De...

Den är 1 µm lång och mäter temperatur och kraft. Tyska Digid tänker sig att den skulle kunna...

Open source code library cURL is removing the possibility to earn money by reporting bugs, hoping...

Det svenskledda kodbiblioteket Curl tar bort möjligheten att tjäna pengar på att rapportera buggar...

EU-kommissionen har läggt fram en uppdaterad version av cybersäkerhetsakten. Den vill förbjuda...

Kina kommer att kräva att elbilens batteri sitter kvar i fordonet vid skrotning. Det kommer att...

Under det senaste året har snabbladdandet ökat vilket satt ett dramatiskt avtryck på...