世界中のサーバや組み込み機器で標準的に利用されているデータ転送ツール「curl」の開発者であるDaniel Stenberg氏は、2026年1月末をもって、脆弱性 報告に対する報奨金制度(バグバウンティ)を終了すると発表しました。
かつてはセキュリティ強化の切り札とされたバグバウンティですが、近年は質の低い報告の氾濫により、逆に開発体制を脅かす事例となっています。
概要
curlプロジェクトの創始者であり主要メンテナであるDaniel Stenberg氏は、2026年1月16日のメーリングリストおよびGitHub上のドキュメント(BUG-BOUNTY.md)の更新において、2026年1月末をもってバグバウンティプログラムを完全に終了することを公表しました。
これにより、HackerOneなどのプラットフォームを通じた脆弱性報告に対する金銭的な報酬は支払われなくなります。
ただし、セキュリティ脆弱性の報告そのものの受付を停止するわけではありません。
プロジェクト側は引き続き有効な脆弱性報告を歓迎していますが、それに対する金銭的インセンティブ(動機付け)のみを排除する形となります。
AIツール等を用いて生成された「低品質な報告」が原因
今回の決定に至った最大の要因は、AIツール等を用いて生成された「低品質な報告」の急増による、セキュリティチームのリソース枯渇です。Daniel氏のコメントやメーリングリストの内容から、以下の3点が具体的な原因として挙げられます。
AI生成を含む低品質な報告の氾濫
Daniel氏は、バグバウンティの終了目的を「質の悪い、十分に調査されていない報告を送ってくる人々のインセンティブを取り除くこと」と明言しています。特にAIによって自動生成されたと思われる報告が増加しており、これらは往々にして的外れでありながら、もっともらしい文章で送られてくるため、確認作業に多大な時間を要します。
開発・検証チームへの過負荷
2026年1月のある週には、わずか16時間の間に7件もの報告がHackerOne経由で寄せられました。しかし、調査の結果、それらはすべて「脆弱性ではない」と判断されました。2026年に入ってから既に20件の報告が処理されましたが、有効なものはゼロでした。このような「ノイズ」の処理に追われ、本来のセキュリティ対策や開発業務が阻害される事態となっています。
金銭目的の報告者とのミスマッチ
報奨金が存在することで、技術的な理解や再現性の確認を行わずに、「数打ちゃ当たる」方式で報告を行う攻撃的なリサーチャーが増加しました。Daniel氏は、こうした報告者に対してSNS等で厳しい姿勢を示すこともありましたが、金銭的インセンティブがある限り、この流れを止めることは困難であると判断しました。
関連記事
curl/libcurlで新たに複数の脆弱性が公開、8.18.0で修正(CVE-2025-13034)
SonicWall「SMA1000」シリーズに深刻なSSRF 脆弱性(CVE-2025-40595)
EmEditor 公式サイトのインストーラー 導線改ざん、最大約2週間の確認を推奨-複数の偽署名MSIが混入
CISAがHPE OneViewの脆弱性をKEVに追加(CVE-2025-37164)
Ciscoの音声系基盤に脆弱性、ゼロデイ攻撃へ試行も(CVE-2026-20045)
トロイの木馬化された「jQuery」がnpmやGitHubで拡散
GitHubの非公開リポジトリがMicrosoftのAIアシスタント「Copilot」により無断公開
VSCodeで約900万回ダウンロードされていた拡張機能へのマルウェア 混入疑惑は誤検知
シスコのメールセキュリティ製品の脆弱性を狙うサイバー攻撃(CVE-2025-20393)
