โครงการ curl ซึ่งเป็นผู้พัฒนาเครื่องมือและไลบรารีบรรทัดคำสั่งยอดนิยม ‘curl’ ได้ประกาศยุติโครงการ Bug Bounty บน HackerOne ณ สิ้นเดือนมกราคม 2026 หลังจากที่ทีมงานถูกถล่มด้วยรายงานช่องโหว่คุณภาพต่ำจำนวนมาก ซึ่งส่วนใหญ่คาดว่าเป็นรายงานที่สร้างโดย AI ทำให้ทีมงานด้านความปลอดภัยทำงานหนักเกินไปและส่งผลต่อประสิทธิภาพในการตรวจสอบช่องโหว่ที่แท้จริง
Severity: ปานกลาง
System Impact:
- curl command-line utility
- libcurl library
- ระบบ Bug Bounty platforms (โดยเฉพาะ HackerOne สำหรับ curl)
Technical Attack Steps:
Recommendations:
Short Term:
- curl จะยุติโครงการ Bug Bounty บน HackerOne ในวันที่ 31 มกราคม 2026
- ตั้งแต่วันที่ 1 กุมภาพันธ์ 2026 เป็นต้นไป นักวิจัยด้านความปลอดภัยจะถูกขอให้รายงานปัญหาด้านความปลอดภัยโดยตรงผ่าน GitHub แทน
Long Term:
- ลดแรงจูงใจในการส่งรายงานคุณภาพต่ำหรือไม่ผ่านการวิจัยมาอย่างดี เพื่อลดภาระงานของทีมความปลอดภัย curl
- ปกป้องสุขภาพจิตของนักพัฒนาและทีมความปลอดภัย เพื่อให้มั่นใจในการอยู่รอดของโปรเจกต์โอเพนซอร์ส
- ผู้ที่ส่งรายงานคุณภาพต่ำอาจถูกแบนและเปิดเผยต่อสาธารณะ
Share this content: