AIによるバグレポートがCurlのバグ報奨金プログラムに殺到 「事実上、DDoS攻撃を受けているようなものだ」と開発者

[新野淳一，ITmedia]

この記事は新野淳一氏のブログ「Publickey」に掲載された「AIによる無効なバグレポートが、Curlのバグ報奨金プログラムに殺到。「事実上、DDoS攻撃を受けているようなものだ」と開発者が訴え」（2025年5月12日掲載）を、ITmedia NEWS編集部で一部編集し、転載したものです。

　オープンソースで開発されている「curl」コマンド（以下cURL）のバグ報奨金プログラムに、AIを用いて作成されたいい加減なバグレポートが殺到した結果、開発者であるDaniel Stenberg氏が「もう限界に達した」「事実上、DDoSを受けているようなものだ」と訴えています。

　そして今後はバグレポートの作成者に対して、レポート作成にAIを用いたかどうかを回答するよう義務付けることを明らかにしました。

cURLのバグを見つけたら報奨金

　cURLコマンドは、コマンドラインからさまざまなプロトコルでデータ転送を実行できるツールであり、Webアプリケーションの開発などさまざまな場面で活用されている有名なツールです。

　オープンソースで開発されているcURLは、バグを見つけた報告者に対して報奨金を出す、バグ報奨金プログラムをHackerOneと呼ばれるプラットフォームで開催しています。

　報奨金はバグの深刻度に応じて540ドル（1ドル145円換算で約7万8000円）から9200ドル（同じく約133万円）まで用意されています。

AIを用いた無効なバグレポートが殺到

　cURLの開発者であるDaniel Stenberg氏は、このバグ報奨金プログラムにAIを用いた無効なバグレポートが殺到している状況を次のように明らかにしました。

We now ban every reporter INSTANTLY who submits reports we deem AI slop. A threshold has been reached. We are effectively being DDoSed. If we could, we would charge them for this waste of our time.

現在我々は、AIによる雑なレポートの報告者を即座にバン（追放）している。もう限界に達した。我々は事実上DDoSを受けているようなものだ。できることなら、この時間の浪費の代償を彼らに請求したいほどだ。

AIによるバグレポートで有効なものは1つもなかった

　Stenberg氏は「We still have not seen a single valid security report done with AI help.」（AIの支援によって作成されたレポートに有効なものは1つもなかった）とも説明しています。

　そして今後、バグ報奨金プログラムでのバグレポート提出時には、すべての報告者が「Did you use an AI to find the problem or generate this submission?」（この問題の発見もしくはレポートの生成にAIを使いましたか？）という質問に答えなければならず、もしも使ったと答えた場合には、報告者が十分な知識を備えているかどうかの追加の質問が行われるだろうとしました。

　cURLの開発者は以前、下記のようなトラブルにも見舞われていました。著名なオープンソースを開発する上でさまざまな苦労に直面していることがうかがえます。

・オープンソースcURLの作者、某大企業から「24時間以内にこの質問に答えるように」との無礼なメールを受け取る