AIによる無効なバグレポートが、Curlのバグ報奨金プログラムに殺到。「事実上、DDoS攻撃を受けているようなものだ」と開発者が訴え

オープンソースで開発されている「curl」コマンド（以下cURL）のバグ報奨金プログラムに、AIを用いて作成されたいい加減なバグレポートが殺到した結果、開発者であるDaniel Stenberg氏が「もう限界に達した」「事実上、DDoSを受けているようなものだ」と訴えています。

そして今後はバグレポートの作成者に対して、レポート作成にAIを用いたかどうかを回答するよう義務付けることを明らかにしました。

cURLのバグを見つけたら報奨金

cURLコマンドは、コマンドラインからさまざまなプロトコルでデータ転送を実行できるツールであり、Webアプリケーションの開発などさまざまな場面で活用されている有名なツールです。

オープンソースで開発されているcURLは、バグを見つけた報告者に対して報奨金を出す、バグ報奨金プログラムをHackerOneと呼ばれるプラットフォームで開催しています。

報奨金はバグの深刻度に応じて540ドル（1ドル145円換算で約7万8000円）から9200ドル（同じく約133万円）まで用意されています。

AIを用いた無効なバグレポートが殺到

cURLの開発者であるDaniel Stenberg氏は、このバグ報奨金プログラムにAIを用いた無効なバグレポートが殺到している状況を次のように明らかにしました。

We now ban every reporter INSTANTLY who submits reports we deem AI slop. A threshold has been reached. We are effectively being DDoSed. If we could, we would charge them for this waste of our time.

現在我々は、AIによる雑なレポートの報告者を即座にバン（追放）している。もう限界に達した。我々は事実上DDoSを受けているようなものだ。できることなら、この時間の浪費の代償を彼らに請求したいほどだ。

AIによるバグレポートで有効なものは1つもなかった

Stenberg氏は「We still have not seen a single valid security report done with AI help.」（AIの支援によって作成されたレポートに有効なものは1つもなかった）とも説明しています。

そして今後、バグ報奨金プログラムでのバグレポート提出時には、すべての報告者が「Did you use an AI to find the problem or generate this submission?」（この問題の発見もしくはレポートの生成にAIを使いましたか？）という質問に答えなければならず、もしも使ったと答えた場合には、報告者が十分な知識を備えているかどうかの追加の質問が行われるだろうとしました。

関連記事

cURLの開発者は以前、下記のようなトラブルにも見舞われていました。著名なオープンソースを開発する上でさまざまな苦労に直面していることがうかがえます。

• オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る