Daniel Stenberg, responsable del popular proyecto de software libre cURL, endurece su postura ante los reportes de seguridad generados por IA tras sufrir una avalancha de informes erróneos y maliciosos.
La paciencia de Daniel Stenberg, desarrollador principal de cURL, se ha agotado. Tras meses advirtiendo sobre el creciente problema de los informes de errores generados por inteligencia artificial (IA), ha decidido aplicar una política estricta: bloqueo inmediato a quienes envíen «basura generada por IA» en plataformas como HackerOne.
En una publicación reciente en LinkedIn, Stenberg fue tajante: “Esto se acabó. Estoy harto. Voy a plantar cara a esta locura”. A partir de ahora, todos los usuarios que reporten problemas de seguridad para cURL en HackerOne deberán responder a una nueva pregunta obligatoria: «¿Has utilizado una IA para encontrar el problema o generar este informe?»
El objetivo de la medida es claro: frenar el aluvión de reportes inútiles o falsos generados por herramientas de IA generativa que, según Stenberg, están saturando los canales de reporte de vulnerabilidades con errores inventados o mal fundamentados.
“Desde ahora, prohibiremos automáticamente a cualquier informante que envíe informes que consideremos basura de IA. Se ha cruzado una línea. Es como si estuviéramos siendo objeto de un ataque DDoS. Si pudiéramos, les cobraríamos por hacernos perder el tiempo”, escribió en la misma publicación.
El detonante: una función inexistente
El desencadenante fue un informe recibido en HackerOne que denunciaba una supuesta vulnerabilidad en una función de cURL que ni siquiera existe. La IA responsable del informe habría “alucinado” ese componente inexistente, un problema habitual con los grandes modelos de lenguaje que, en su afán por generar respuestas plausibles, inventan hechos.
Stenberg ya había alertado de esta situación en enero de 2024, calificando de “desesperantes” los informes generados por IA. A diferencia de los informes falsos de antes, los generados por IA son más difíciles de detectar y aparentan estar bien redactados, lo que consume aún más tiempo y recursos al equipo que los revisa.
Una tendencia preocupante en el ecosistema open source
El caso de cURL no es aislado. En los últimos meses, numerosos proyectos de código abierto han reportado una oleada de informes de seguridad generados con IA, que en muchos casos resultan ser erróneos, maliciosos o simplemente inútiles. El incentivo de obtener recompensas económicas mediante programas de bug bounty ha llevado a algunos usuarios a emplear herramientas de IA para automatizar la creación de reportes y aumentar sus posibilidades de cobrar, sin verificar su veracidad.
Aunque la inteligencia artificial tiene un gran potencial en la detección de errores y vulnerabilidades, la falta de supervisión humana adecuada y el uso irresponsable de estas herramientas están generando el efecto contrario: saturación, pérdida de tiempo y frustración en los equipos de desarrollo.
¿IA útil o amenaza para el ecosistema?
Stenberg no se opone al uso responsable de la IA en seguridad, pero sostiene que ninguno de los informes generados con asistencia de IA que ha recibido ha sido útil o válido. Por ello, además de requerir transparencia sobre el uso de IA, someterá estos informes a cuestionarios de verificación para demostrar que existe una mínima comprensión técnica por parte del remitente.
La comunidad de cURL, que ha gestionado este proyecto fundamental para la web moderna durante más de dos décadas, se encuentra ahora enfrentando un nuevo tipo de desafío: la irrupción masiva de herramientas automatizadas que, sin una base sólida, ponen en jaque la calidad del proceso colaborativo en proyectos de código abierto.
