curl projesinin kurucusu ve ana geliştiricisi Daniel Stenberg, curl ve libcurl için yıllardır yürütülen HackerOne bug bounty programının Ocak 2026 itibarıyla tamamen sona ereceğini duyurdu. Kararın arkasındaki ana sebep ise son dönemde patlama yapan, büyük kısmı yapay zekâ ile hazırlanmış düşük kaliteli güvenlik raporları.


Stenberg’in aktardığına göre, özellikle 2025 boyunca curl projesine gönderilen güvenlik bildirimlerinde ciddi bir artış yaşandı. Ancak bu artış gerçek güvenlik açıklarından değil; yüzeysel, kopyala-yapıştır, çoğu zaman teknik olarak hatalı ve “bir şey varmış gibi görünen” ama aslında hiçbir somut bulgu içermeyen raporlardan kaynaklandı. Bazı günler saatler içinde birden fazla rapor geldiği, bunların tamamının incelenmesine rağmen gerçek bir açık çıkmadığı belirtiliyor.


Sorun şu ki curl, büyük bir şirket ürünü değil. Güvenlik incelemelerini yapan ekip oldukça küçük ve bu tarz raporların her biri ister istemez zaman, dikkat ve mental enerji tüketiyor. Stenberg açıkça, bu yükün artık sürdürülebilir olmadığını ve projenin sağlığı için bir karar almak zorunda kaldıklarını söylüyor.


Bu nedenle curl tarafı, bug bounty ödüllerini tamamen kaldırıyor. Ocak 2026 sonuna kadar HackerOne üzerinden gönderilmiş veya hâlihazırda incelenen raporlar işleme alınmaya devam edecek. Ancak Şubat 2026’dan sonra HackerOne üzerinden yeni bildirim kabul edilmeyecek. Güvenlik açıkları yalnızca GitHub üzerinden, ödülsüz şekilde bildirilebilecek.


Yeni güvenlik politikasında dikkat çeken bir diğer nokta da tonun oldukça net olması. curl ekibi, düşük kaliteli, araştırılmamış veya spam niteliğindeki raporları gönderen kişilerin engellenebileceğini ve bu tarz davranışlara tolerans gösterilmeyeceğini açıkça belirtiyor. Amaç, “ödül için rapor kasan” kişilerden gelen gürültüyü azaltıp, gerçekten anlamlı güvenlik bildirimlerine alan açmak.


Özetle curl, AI çağında bug bounty sisteminin nasıl suistimal edilebildiğine dair canlı bir örnek olmuş durumda. Proje tamamen güvenlik bildirimlerine kapanmıyor ama artık “para motivasyonu” olmadan, gerçekten emek verilmiş raporları ayıklamak istiyor.