cURL removes bug bounties
Recorded: Jan. 21, 2026, 11:03 a.m.
| Original | Summarized |
JavaScript is currently disabled.Please enable it for a better experience of Jumi. cURL removes bug bounties JavaScript is currently disabled.Please enable it for a better experience of Jumi.
JavaScript is currently disabled.Please enable it for a better experience of Jumi. JavaScript is currently disabled.Please enable it for a better experience of Jumi. Annonsera ⏚ Utgivningsplan ⏚ Månadsmagasinet ⏚ Prenumerera⏚ Konsultguide ⏚ Om oss ⏚ About / Advertise
JavaScript is currently disabled.Please enable it for a better experience of Jumi. A la carte Nyheter Annonsera JavaScript is currently disabled.Please enable it for a better experience of Jumi. Kopiera länk till sidan JavaScript is currently disabled.Please enable it for a better experience of Jumi. cURL removes bug bounties
Skriv ut • Av: Jan TĂĄngring Publicerad 20 januari 2026 Skapad den 20 januari 2026 Senast uppdaterad 20 januari 2026 Artificiell Intelligens Open source code library cURL is removing the possibility to earn money by reporting bugs, hoping that this will reduce the volume of AI slop reports. Joshua Rogers – AI wielding bug hunter of fame – thinks it's a great idea. cURL has been flooded with AI-generated error reports. Now one of the incentives to create them will go away. Daniel ”AI slop and bad reports in general have been increasing even more lately, so we have to try to brake the flood in order not to drown”, says cURL maintainer Daniel Stenberg to Swedish electronics industry news site etn.se. Joshua “I think it's a good move and worth a bigger consideration by others. It's ridiculous that it went on for so long to be honest, and I personally would have pulled the plug long ago,” he says to etn.se. FöregĂĄende Nästa JavaScript is currently disabled.Please enable it for a better experience of Jumi. Prenumerera pĂĄ Elektroniktidningens nyhetsbrev eller pĂĄ vĂĄrt magasin. Please enable JavaScript to view the comments powered by Disqus. Halva Tres nät är 5GSA21 jan 2026 11:15 - Per Henricsson Operatören Tre säger sig vara först i Sverige med 5G Standalone (SA) i sitt kommersiella nät. Ungefär hälften av befolkningen täcks sedan slutet av december. Likström genom sĂĄret pĂĄskyndar läkningen21 jan 2026 09:49 - Per Henricsson Chalmersavknoppningen Bioelectrix vill hjälpa kroppen att fĂĄ igĂĄng läkning av sĂĄr genom att applicera en likström via en elektrod av grafen belagd med en ledande polymer. Hos bland annat diabetiker kan de elektriska signalvägarna mellan celler sluta fungera vilket leder till att sĂĄr blir större och större. Tyskland subventionerar bilar frĂĄn Kina21 jan 2026 10:27 - Jan TĂĄngring När Tyskland nu ĂĄterinför elbilsbidrag sĂĄ fĂĄr även bilar tillverkade i Kina en del av kakan. Regeringen tror att tyska bilar klarar konkurrensen. Intelligent modul pĂĄ AMD-processor21 jan 2026 08:58 - Jan TĂĄngring Congatec släpper en datormodul pĂĄ AMD:s processor Ryzen P100. Den tänkta tillämpningen är edge-AI. PXI med lägre pris21 jan 2026 08:16 - Per Henricsson Med ambitionen att fler ska ha rĂĄd med ett PXI-system lanserar NI ett chassi, en kontroller, ett oscilloskopkort och ett IO-kort med ett lägre pris än föregĂĄngarna. Tillsammans utgör de ett komplett testsystem. Ingen belöning för buggjakt i Curl20 jan 2026 15:45 - Jan TĂĄngringDet svenskledda kodbiblioteket Curl tar bort möjligheten att tjäna pengar pĂĄ att rapportera buggar och hoppas att det ska minska volymen av AI-slaskrapporter. Buggjägaren Joshua Rogers – som själv flitigt använder debug-bottar – tycker att det är en bra idĂ©. EU vill stoppa Huawei20 jan 2026 13:16 - Per Henricsson EU-kommissionen har läggt fram en uppdaterad version av cybersäkerhetsakten. Den vill förbjuda kinesiska produkter i kritisk infrastruktur. Om förslaget antas skulle det innebära att länder som inte implementerat EU:s sĂĄ kallade verktygslĂĄda nu tvingas sätta stopp för Huawei, ZTE och andra kinesiska leverantörer i 5G-näten. Nvidia bjuder in Risc V i AI-datacentret20 jan 2026 11:44 - Jan TĂĄngringAmerikanska Risc V-pionjären Sifive integrerar Nvidias datalänkteknik NV-link Fusion i sin dataÂcenter-IP. Därmed kan vi komma att fĂĄ se AI-datacenter med Risc V-cpu:er som pratar med Nvidias AI-acceleratorer. Satelliterna ska fylla hĂĄlen i mobilnäten20 jan 2026 09:08 - Göte Andersson Mobilindustrin tar nu sats för ny stor expansion med hjälp av globala satellitsystem. Amerikanska Starlink ligger i täten med en lösning som visar vad detta handlar om, att kommunicera direkt med vanliga mobiltelefoner utan att gĂĄ via nĂĄgon landbaserad basstation i mobilnätet. Koldioxidsensor frĂĄn Delsbo20 jan 2026 08:47 - Per Henricsson S12 är en ultrakompakt sensor för COâ‚‚-mätning frĂĄn Senseair. Den är utvecklad för batteridrivna och trĂĄdlösa system som mäter luftens kvalitet i byggnader. Kina: Batteri och elbil mĂĄste skrotas tillsammans19 jan 2026 12:51 - Jan TĂĄngringKina kommer att kräva att elbilens batteri sitter kvar i fordonet vid skrotning. Det kommer att fĂĄr effekter pĂĄ marknaden för ĂĄtervinning och ĂĄteranvändning av batterierna. Snabbladdning sliter dubbelt sĂĄ hĂĄrt pĂĄ batteriet19 jan 2026 11:04 - Jan TĂĄngring Under det senaste ĂĄret har snabbladdandet ökat vilket satt ett dramatiskt avtryck pĂĄ elbilsbatteriernas livslängd. Analysen kommer frĂĄn telematikföretaget Geotab. Kanada öppnar för kinesiska elbilar och samarbeten19 jan 2026 11:04 - Jan TĂĄngring USA och Kanada har inte längre en enad handelsfront mot Kina efter att Kanadas och Kinas ledare skakat hand om en friare handel med bland annat elbilar och energiteknik. Polestar, Volvo och Tesla hoppas snabbt kunna ĂĄterställa sin försäljning. Micron köper fab i Taiwan19 jan 2026 10:25 - Per Henricsson Amerikanska Micron har tecknat en avsiktsföklaring om att köpa en halvledarfabrik i Taiwan av foundryt PSMC, Powerchip Semiconductor Manufacturing Corporation. För 1,8 miljarder dollar fĂĄr minnesjätten ett toppmodernt renrum pĂĄ 2 800 kvadratmeter med 300 mm-maskiner. Armarnas rörelser avslöjar stroke19 jan 2026 08:47 - Per Henricsson Genom att mäta armarnas rörelser med vad som kan beskrivas som tvĂĄ aktivitetsarmband gĂĄr det att upptäcka ett strokeinsjuknande och automatiskt skicka ett larm. Lundabolaget Uman Sense hĂĄller pĂĄ att kommersialisera tekniken som just nu testas pĂĄ ĂĄtta svenska sjukhus. Micron sätter spaden i marken16 jan 2026 14:38 - Per Henricsson Den amerikanska minnestillverkaren Micron startar officiellt bygget av sin nya megafabrik i delstaten New York idag sedan alla nödvändiga tillstĂĄnd är beviljade. Uppgifter: Nvidias superprocessor fĂĄr inte föras in i Kina16 jan 2026 10:48 - Jan TĂĄngring Kinesiska tullmyndigheter meddelade denna vecka sina tulltjänstemän att Nvidias kontroversiella processor H200 inte fĂĄr tas in i Kina. Det har tre personer med insyn berättat för nyhetsbyrĂĄn Reuters. Tysk standard för batteribyte redo för utrullning16 jan 2026 09:13 - Jan TĂĄngring Efter att ha tagit fram, och under tvĂĄ ĂĄr testat, en lösning för automatiskt batteribyte för tunga lastbilar, vill ett tyskt konsortium bygga ett nätverk av standardiserade serieproducerbara batterimackar i Europa. Flygvapnet öppnar dörren för Uppsalas inkubator16 jan 2026 09:32 - Per Henricsson Uppsala Innovation Centre, UIC, och Flygvapnet har startat ett samarbete som ska underlätta för uppstartsbolagen att hitta behovsägare inom Försvarsmakten och initiera pilotprojekt. Mips fĂĄr sällskap av Arc hos Globalfoundries16 jan 2026 08:23 - Per Henricsson SĂĄ sent som i somras köpte amerikanska Globalfoundries IP-leverantören Mips. Nu fĂĄr Risc V-kärnorna sällskap av Arc:s kärnor, som Synopsys säljer till foundryt. MER LĂ„SNING: JavaScript is currently disabled.Please enable it for a better experience of Jumi.  JavaScript is currently disabled.Please enable it for a better experience of Jumi. KOMMENTARER Kommentarer via JavaScript is currently disabled.Please enable it for a better experience of Jumi. Altium: Kan halvledarindustrin ta hĂĄllbarhet pĂĄ allvar? Halvledarindustrin är inte van vid att framställas som en miljöbov. Den är motorn bakom de flesta... Alif Semiconductor: Generativ AI ställer nya krav pĂĄ styrkretsen Stora sprĂĄkmodeller (LLM:er) och tjänster baserade pĂĄ dessa som ChatGPT och Gemini är lysande... Bytesnap: Egensäker elektronik – igĂĄr och idag Historiskt sett var elektronik som var avsedd för farliga miljöer, sĂĄ kallad egensäker (IS)... Nya produkter Intelligent modul pĂĄ AMD-processor Congatec släpper en datormodul pĂĄ AMD:s processor Ryzen P100. Den tänkta tillämpningen är edge-AI. PXI med lägre pris Med ambitionen att fler ska ha rĂĄd med ett PXI-system lanserar NI ett chassi, en kontroller, ett... Nvidia bjuder in Risc V i AI-datacentret Amerikanska Risc V-pionjären Sifive integrerar Nvidias datalänkteknik NV-link Fusion i sin dataÂcenter-IP.... Koldioxidsensor frĂĄn Delsbo S12 är en ultrakompakt sensor för COâ‚‚-mätning frĂĄn Senseair. Den är utvecklad för batteridrivna... Ryzen för fordon och fysisk AI P100 heter en ny x86-processorfamilj bestyckad med Zen 5-cpu:er, RDNA 3.5-gpu:er och sist men inte... Senaste nyheter Halva Tres nät är 5GSA Operatören Tre säger sig vara först i Sverige med 5G Standalone (SA) i sitt kommersiella nät.... Tyskland subventionerar bilar frĂĄn Kina När Tyskland nu ĂĄterinför elbilsbidrag sĂĄ fĂĄr även bilar tillverkade i Kina en del av kakan.... cURL removes bug bounties Open source code library cURL is removing the possibility to earn money by reporting bugs, hoping... Ingen belöning för buggjakt i Curl Det svenskledda kodbiblioteket Curl tar bort möjligheten att tjäna pengar pĂĄ att rapportera buggar... EU vill stoppa Huawei EU-kommissionen har läggt fram en uppdaterad version av cybersäkerhetsakten. Den vill förbjuda... Prenumeration RainerRaitasuo +46(0)734-171099 rainer@etn.se PerHenricsson JanTångring JavaScript is currently disabled.Please enable it for a better experience of Jumi. JavaScript is currently disabled.Please enable it for a better experience of Jumi. JavaScript is currently disabled.Please enable it for a better experience of Jumi. JavaScript is currently disabled.Please enable it for a better experience of Jumi. JavaScript is currently disabled.Please enable it for a better experience of Jumi.
JavaScript is currently disabled.Please enable it for a better experience of Jumi. |
cURL, a widely used open-source tool for transferring data using network protocols, is implementing a significant shift in its approach to bug bounty reporting. This change, spearheaded by Daniel Stenberg, the maintainer of cURL, aims to mitigate the overwhelming influx of artificially generated “slop” reports stemming primarily from the rise of artificial intelligence. The core motivation is to reduce the time and resources spent by Stenberg and his team in validating and addressing these reports, many of which are nonsensical or overly broad. Joshua Rogers, a prominent bug hunter who has frequently utilized cURL, has enthusiastically embraced this decision, viewing it as a long overdue and beneficial step. The problem cURL has faced is largely attributable to the increasing deployment of AI tools for security testing. While AI can undoubtedly assist in identifying vulnerabilities, it has also led to a proliferation of automated reports, frequently containing irrelevant or inaccurate findings. These AI-generated "slop reports," as Daniel Stenberg describes them, severely impact the maintainers' ability to focus on genuine security issues. The sheer volume of these reports, many generated without human oversight or understanding, has created an unsustainable workload. This situation, characterized by Stenberg as “AI slop and bad reports in general,” has been escalating, necessitating a proactive intervention. As a direct response to this trend, cURL is terminating its bounty program as of the end of January. The intention is to remove the incentives that drive the generation of these low-quality reports. Stenberg explicitly states that the removals of this incentive is ‘to remove some of the incentives for people to send us garbage.’ The monetary rewards, even relatively modest, encourage individuals to create and submit reports, some of which fall far outside the scope of legitimate security analysis. While recognizing the value of genuine contributions from skilled security researchers, Stenberg acknowledges that the current situation has become untenable. Despite the removal of the financial incentive, the decision is not universally viewed as detrimental. Joshua Rogers, who has been instrumental in identifying vulnerabilities within cURL using an AI-assisted approach, believes that this change is a positive development. He contends that the focus should be on fostering genuine expertise and thoughtful investigation rather than solely relying on monetary rewards. Furthermore, Rogers highlights the substantial number of valuable reports generated through AI assistance – over one hundred good AI assisted reports that led to corrections – underscoring the potential of AI when employed responsibly. The move raises several pertinent questions about the relationship between open-source development, security research, and the evolving landscape of vulnerability discovery. The value of a bounty, in Rogers’ view, isn’t solely measured in dollars. He posits that the real incentive lies in the "brand is priceless" – creating recognition and reputation among security professionals. The potential maximum cURL bounty of USD 10,000, while offering a substantial reward, is not seen as a sufficient deterrent for a skilled security researcher. Rogers’ perspective introduces a nuanced view, emphasizing that a more significant motivator is the opportunity to contribute meaningfully to a widely used and respected open-source project. However, the removal of bounties doesn’t negate the potential for value from AI-assisted discovery. Rogers argues that the primary benefit lies in identifying critical vulnerabilities that would otherwise be missed due to the volume of irrelevant reports. He believes that the fundamental incentive remains the pursuit of valuable security knowledge, regardless of monetary compensation. The decision ultimately reflects a strategic refocusing by cURL's maintainers in light of the disproportionate effect of AI-generated slop reports on their workflow. It highlights the need for developers to thoughtfully consider the potential impacts of emerging technologies on their projects and to implement measures to mitigate unwanted or unproductive behaviors. The shift acknowledges that simply rewarding vulnerability reports isn't always the most effective strategy, especially when faced with the flood of automated, low-quality findings. |