AI 슬롭(Slop) 보고서 폭증으로 curl, 버그 바운티 프로그램 종료

curl 개발팀은 AI가 생성한 저품질 보안 보고서(Low-Quality Security Reports)의 증가로 인해 버그 바운티 프로그램 운영에 어려움을 겪었다고 밝혔다. 특히, 2025년부터 확인된 취약점 비율이 5% 미만으로 급감하면서, 시간 낭비(Wasted Time)와 개발자의 정신적 부담이 가중되었다고 언급했다. 이러한 AI 슬롭 보고서는 실제 취약점을 찾기 어렵게 만들고, 개발팀의 자원 낭비를 초래하는 주요 원인으로 지목되었다.

curl 프로젝트는 Hackerone을 통해 버그 바운티 프로그램을 운영해왔으나, 프로그램 종료와 함께 Hackerone 플랫폼 사용을 중단하기로 결정했다. 이는 보상 체계(Reward System)를 없애고, AI 슬롭 보고서 제출에 대한 유인을 제거하기 위한 조치로 풀이된다. 또한, Hackerone 대신 GitHub의 비공개 취약점 보고 기능(Private Vulnerability Reporting)을 활용하여 보안 문제를 보고받을 예정이다.

curl 개발팀은 버그 바운티 프로그램 종료에도 불구하고, 보안 유지를 위한 노력을 지속할 것이라고 밝혔다. GitHub의 비공개 취약점 보고 기능(Private Vulnerability Reporting)을 통해 보안 문제를 보고받고, 기존의 보안 담당자들이 문제를 처리할 예정이다. 또한, FOSDEM 2026에서 AI와 오픈소스 보안에 대한 강연을 진행하여, AI 슬롭 보고서 문제에 대한 해결 방안을 모색할 예정이다.

curl 개발팀은 AI 슬롭 보고서 증가의 원인으로 금전적 보상(Monetary Rewards)을 지목했다. 금전적 보상이 보안 보고서 제출에 대한 유인을 제공하지만, 동시에 낮은 품질의 보고서가 증가하는 결과를 초래했다는 것이다. 다른 오픈소스 프로젝트와 비교했을 때, curl 프로젝트가 AI 슬롭 보고서에 더 큰 영향을 받는다는 점도 언급되었다. 이는 수익 배분 구조(Revenue Share Model)와 관련된 문제로 분석된다.