cURL ยกเลิกโครงการบั๊กบาวน์ตี

 (etn.se)
7 คะแนน โดย GN⁺ 2026-01-22 | 2 ความคิดเห็น | แชร์ทาง WhatsApp
  • ไลบรารีโอเพนซอร์ส cURL ยุติ โครงการบั๊กบาวน์ตี เพื่อสกัดการพุ่งขึ้นของรายงานบั๊กไร้สาระที่สร้างโดย AI
  • ผู้ดูแลโครงการ Daniel Stenberg อธิบายว่า รายงานที่ AI สร้างขึ้นส่วนใหญ่เป็น “เรื่องเท็จล้วนๆ” และใช้เวลาตรวจสอบจำนวนมาก
  • cURL จะ หยุดจ่ายรางวัลตั้งแต่ปลายเดือนมกราคม โดยก่อนหน้านี้มีการจ่ายรวม 101,020 ดอลลาร์ ให้กับรายงานทั้งหมด 87 ฉบับ
  • นักวิจัยด้านความปลอดภัย Joshua Rogers ซึ่งใช้เครื่องมือ AI เพื่อส่งรายงานที่ใช้ได้จริงมาโดยตลอด มองว่าการตัดสินใจครั้งนี้เป็น “มาตรการที่ชาญฉลาดมาก
  • เขาระบุว่าแรงจูงใจที่แท้จริงไม่ใช่เรื่องเงิน แต่คือ ชื่อเสียงและความสำเร็จทางเทคนิค และโปรเจ็กต์อื่นๆ ก็ควรพิจารณามาตรการคล้ายกัน

การตัดสินใจยุติบั๊กบาวน์ตีของ cURL

  • ไลบรารีโค้ดโอเพนซอร์ส cURL หยุดให้รางวัลเป็นเงินสำหรับรายงานบั๊ก
    • เป้าหมายคือเพื่อยับยั้งการเพิ่มขึ้นของ รายงานปลอมที่สร้างโดย AI (AI slop)
    • ผู้ดูแล Daniel Stenberg กล่าวว่า “AI slop และรายงานที่ไม่ถูกต้องยังคงเพิ่มขึ้นเรื่อยๆ และหากไม่หยุดน้ำหลากนี้ เราก็มีแต่จะจมลงไป”
  • cURL จะ ยุติการจ่ายบาวน์ตีตั้งแต่ปลายเดือนมกราคม
    • เขาอธิบายว่า “เรากำลังเสียเวลามากเกินไปกับสิ่งที่ค้นพบซึ่งไม่มีอยู่จริง ถูกพูดเกินจริง หรือเกิดจากความเข้าใจผิด”

ปัญหาและผลกระทบของรายงานที่สร้างโดย AI

  • ช่วงหลัง cURL มีภาระงานเพิ่มขึ้นมากจาก รายงานบั๊กที่ AI สร้างขึ้นโดยอัตโนมัติ
    • รายงานที่สร้างโดย AI ส่วนใหญ่ถูกพบว่า ไร้สาระหรือมีข้อมูลผิดพลาด
    • กระบวนการคัดแยกรายงานเหล่านี้ ใช้เวลามาก และสร้างภาระหนักให้กับผู้ดูแลโครงการ
  • Stenberg เคยพูดถึงปัญหานี้ต่อสาธารณะในปี 2025 ผ่านบทความชื่อ “Death by a thousand slops”

ตัวอย่างเชิงบวกของรายงานที่มี AI ช่วย

  • ไม่ใช่ว่ารายงานที่สร้างโดย AI ทุกฉบับจะไร้ค่า
    • Stenberg ระบุว่ามีรายงานที่มี AI ช่วยมากกว่า 100 ฉบับ ที่นำไปสู่การแก้ไขโค้ดจริง
  • จนถึงตอนนี้ cURL ได้จ่ายบาวน์ตีรวม 101,020 ดอลลาร์ สำหรับ รายงานบั๊ก 87 ฉบับ
    • หากไม่มีบาวน์ตี รายงานบางส่วนอาจไม่ถูกค้นพบเลยก็เป็นได้ (ไม่มีการวิเคราะห์เพิ่มเติม)

มุมมองของนักวิจัยด้านความปลอดภัย Joshua Rogers

  • Joshua Rogers เป็นผู้ที่ใช้เครื่องมือ AI เพื่อส่ง รายงานบั๊กที่ใช้ได้จริง ให้กับโปรเจ็กต์โอเพนซอร์สหลายครั้ง
    • เขาตรวจทานผลวิเคราะห์จาก AI และปรับแก้ด้วยตนเองก่อนส่ง
  • Rogers ประเมินการตัดสินใจของ cURL ครั้งนี้ว่าเป็น “มาตรการที่ยอดเยี่ยมซึ่งควรทำมาตั้งนานแล้ว
    • พร้อมกล่าวว่า “แปลกเสียด้วยซ้ำที่ระบบนี้อยู่มาได้นานขนาดนี้”
  • เขากล่าวว่า “ถ้าบั๊กบาวน์ตีหายไป แรงจูงใจบางส่วนอาจลดลง แต่ รายงานสำคัญก็จะยังถูกส่งเข้ามาอยู่ดี

ความไม่สมดุลระหว่างรางวัลกับแรงจูงใจ

  • Rogers เน้นว่า “ชื่อเสียง (fame) คือแรงจูงใจที่แท้จริง ส่วนเงินรางวัลเป็นเรื่องรอง”
    • บาวน์ตีสูงสุดของ cURL คือ 10,000 ดอลลาร์ ซึ่งไม่ใช่จำนวนเงินมากสำหรับผู้เชี่ยวชาญระดับที่สามารถค้นหาช่องโหว่ร้ายแรงได้
  • อย่างไรก็ตาม เขาก็ชี้ให้เห็นถึง ความไม่สมดุลทางเศรษฐกิจ
    • เขาระบุว่าแม้เป็นรางวัลจำนวนเท่ากัน แต่สำหรับ นักวิจัยในภูมิภาคที่มีรายได้ต่ำ มันอาจมีความหมายมาก
    • พร้อมอธิบายว่า “รางวัลที่แค่พอเป็นค่าอาหารกลางวันในสวีเดน อาจเป็นเงินก้อนใหญ่ในบางพื้นที่”

ความท้าทายร่วมกันของระบบนิเวศโอเพนซอร์ส

  • ตามรายงาน โปรเจ็กต์โอเพนซอร์สอื่นๆ ก็เผชิญกับกระแสรายงานที่สร้างโดย AI เช่นกัน
  • การตัดสินใจครั้งนี้ของ cURL อาจจุดประกายการถกเถียงใหม่เกี่ยวกับ การควบคุมคุณภาพและแนวทางดูแลคอมมูนิตี้ในยุค AI (ไม่มีคำอธิบายเพิ่มเติม)

บทความที่เกี่ยวข้อง

2 ความคิดเห็น

 
xguru 2026-01-22

การทำให้การสร้าง exploit สำหรับการแฮ็กด้วย LLM กลายเป็นอุตสาหกรรมกำลังใกล้เข้ามา

เมื่อประกอบกับเรื่องนี้แล้ว ก็ดูเหมือนว่ากำลังจะถึงช่วงเวลาที่หลาย ๆ ส่วนหลีกเลี่ยงการนำ LLM มาใช้งานไม่ได้แล้วนะครับ
ถึงอย่างนั้น เพื่อป้องกันแฮ็กเกอร์ที่ใช้ LLM อย่างน้อยก็คงต้องให้ LLM มาช่วยตรวจสอบด้านความปลอดภัยด้วย
 
GN⁺ 2026-01-22
ความเห็นจาก Hacker News

  • ดูเหมือนว่าถ้าเก็บ ค่าสมัครที่ขอคืนได้ เมื่อบั๊กถูกพิสูจน์ว่าเป็นปัญหาสำคัญจริง ก็น่าจะช่วยหยุดปัญหาแบบนี้ได้เร็ว ครั้งหนึ่งเคยรายงานช่องโหว่ที่ทำให้ระบบล็อกอินธนาคารเปลี่ยนจากใช้รหัสผ่าน+PIN มาเป็นใช้แค่ PIN ได้ แต่เขาปิดเคสโดยบอกว่า “เป็นพฤติกรรมที่ตั้งใจไว้” จากนั้นก็ได้เรียนรู้ว่าองค์กรที่มี ข้อกำกับดูแลสูง อย่างโรงพยาบาลหรือธนาคาร มักโฟกัสที่ “ผ่าน compliance” มากกว่าความปลอดภัยจริง ถ้าฝ่ายที่จัด bug bounty ดำเนินการด้วยเจตนาดี อุปสรรคในการเข้าร่วมหรือบทลงโทษแบบนี้ก็น่าจะช่วยคัดกรองผู้ส่งรายงานที่ไม่หวังดีได้

    • bug bounty เป็นโครงสร้างที่ มีความเสี่ยงสูงสำหรับผู้ส่งรายงาน ผู้รีวิวอาจเข้าใจเนื้อหาผิด หรือกติกาก็มักคลุมเครือ ถ้าต้องเก็บค่าสมัคร ความเสี่ยงนั้นก็ยิ่งสูงขึ้น ตอนที่เคยอยู่ฝั่งผู้ดูแล ก็มีรายงานเละเทะจำนวนมากอยู่แล้ว และตอนนี้มี AI เพิ่มเข้ามา น่าจะหนักกว่าเดิมมาก แม้ในมุมผู้ส่งเองก็ยากที่จะได้รับการประเมินอย่างเป็นธรรม และยังมีโอกาสสูงที่จะเป็นรายงานซ้ำ
    • ความจริงที่น่าเศร้าคือองค์กรที่ถูกกำกับดูแลหนักหลายแห่งพยายามรักษาแค่ ระดับขั้นต่ำที่จะไม่ถูกจับได้ มากกว่าจะเน้นความปลอดภัย ก่อนหน้านี้เคยมีธนาคารใน EU ที่อนุญาตให้ล็อกอินด้วยลายเซ็นอิเล็กทรอนิกส์ที่รองรับแค่ SHA-1 ทั้งที่เป็นอัลกอริทึมที่เลิกใช้ไปแล้วตั้งแต่ 10 ปีก่อน ซอฟต์แวร์ผู้ให้บริการยืนยันตัวตนที่ได้รับการรับรองจากรัฐจะ crash ทันทีถ้ามี YubiKey เสียบอยู่ ทั้งที่เป็นอุปกรณ์ที่ทำตามมาตรฐาน แต่ผู้พัฒนากลับตั้งสมมติฐานนอกมาตรฐาน พอรายงานบั๊กไป ก็ได้รับคำตอบแค่ว่า “ไม่ใช่ปัญหาของเรา”
    • แก่นของ bug bounty คือการ จูงใจให้รายงานช่องโหว่กับนักพัฒนา แต่ถ้าจะรายงานต้องจ่ายเงิน และยังไม่แน่ว่าจะได้คืนหรือได้รางวัลไหม การไปขายที่อื่นอาจดูน่าสนใจกว่า
    • ระบบเก็บค่าสมัครทำให้ ความซับซ้อนในการดำเนินงาน สูงขึ้นมาก Daniel จาก cURL เคยพิจารณาแนวคิดแบบนี้หลายครั้งแล้ว แต่สุดท้ายสรุปว่าใช้งานจริงไม่ได้
    • ผมเองก็ได้ข้อสรุปเดียวกันหลังเห็นกรณีของ GrapheneOS อุปกรณ์ที่ไม่ปลอดภัยแต่ได้รับการรับรองกลับใช้ฟังก์ชันทั้งหมดของแอปได้ ขณะที่ GrapheneOS ซึ่งเป็น OS ที่ปลอดภัยที่สุด กลับถูกจำกัดฟังก์ชันเพียงเพราะ “ไม่มีการรับรอง” สุดท้ายปัญหาไม่ได้อยู่ที่ความปลอดภัย แต่อยู่ที่ระบบการรับรอง

  • ดูเหมือนว่า โอเพนซอร์สกำลังได้รับผลกระทบจาก AI หนักที่สุด โค้ดโอเพนซอร์สถูกนำไปใช้ฝึกโมเดล แล้วตอนนี้โมเดลนั้นก็กลับมาสแปมโปรเจกต์โอเพนซอร์สเสียเอง แถม AI ยังไปทำฟีเจอร์แบบเสียเงินได้ ทำให้โมเดลธุรกิจของโอเพนซอร์สถูกกัดกิน และท้ายที่สุดอาจแทนที่ตัวโค้ดโอเพนซอร์สเองด้วย

    • AI คือสิ่งที่ ทำลายแรงขับเคลื่อนทั้งหมดของโอเพนซอร์ส มันบั่นทอนทั้งแรงจูงใจในการมีส่วนร่วม การดูแลรักษา การเรียนรู้ การร่วมมือ และการสร้างธุรกิจ แม้แต่รูปแบบการจ้างงานแบบดั้งเดิมที่ทำงานกับโค้ดปิดก็ยังถูกสั่นคลอน สุดท้ายก็กลายเป็นภาพที่บริษัทอเมริกันสามแห่งแข่งขันกันขายงานเก่าของเราในรูปแบบ subscription
    • หลังยุค AI มี คนที่ไม่ได้เข้าใจโค้ดจริงๆ พยายามขอ badge ผู้มีส่วนร่วมใน repository ใหญ่ๆ เพิ่มขึ้นอย่างมาก เมื่อก่อนก็มีการมีส่วนร่วมแบบสร้างภาพอยู่แล้ว แต่ตอนนี้ขนาดของปัญหาต่างออกไปโดยสิ้นเชิง
    • ถ้ากระแสนี้ยังดำเนินต่อไป โปรแกรมอย่าง Google Summer of Code ก็คงต้อง ยกเครื่องครั้งใหญ่ เมื่อก่อนนักเรียนต้องไปหาโปรเจกต์เองและมีส่วนร่วมจริง กระบวนการนั้นช่วยคัดกรองโดยธรรมชาติ แต่พอ AI ทำแทน ตัวกรองนี้ก็หายไป
    • เป็นเรื่องน่าเศร้าที่ AI กำลังสั่นคลอนโมเดลธุรกิจของโอเพนซอร์ส แต่ ไม่มีใครมีสิทธิ์เหนือโมเดลธุรกิจ เมื่อโลกเข้าสู่การแข่งขัน การที่โมเดลแบบ open-core จะพังลงก็เป็นเรื่องธรรมชาติ
    • โมเดลไม่ได้ถูกฝึกด้วยโค้ดโอเพนซอร์สอย่างเดียว ยังรวมถึงตำรา คอร์สเรียน เอกสารทางการ ฯลฯ ด้วย ก่อนหน้านี้ตอนพยายามกู้ข้อมูลจากอุปกรณ์ Android เก่า ผมให้ Claude เพิ่มฟังก์ชัน GUI ให้ และมันก็ทำงานได้ค่อนข้างดี แต่เพราะโค้ดที่ได้ไม่ตรงกับทิศทางเดิมของโปรเจกต์ เลยไม่ได้เอากลับไปลง GitHub

  • ในมุมของแฮ็กเกอร์สาย white hat รางวัลจาก bug bounty อาจไม่ได้สูงมาก แต่ก็ยังมีความหมายในฐานะ ทางเลือกเชิงศีลธรรม แต่ถ้าเป็นช่องโหว่ที่นำไปใช้หาประโยชน์ได้จริง ก็อาจเอาไปขายให้คนทำมัลแวร์ที่ให้เงินมากกว่าได้

    • แต่ในโลกความจริง การ ซื้อขายกับผู้ทำมัลแวร์ แทบเป็นไปไม่ได้ เพราะต่างฝ่ายต่างไม่ไว้ใจกัน จึงต้องมีขั้นตอนซับซ้อนอย่าง crypto escrow หรือการฟอกเงิน ถ้าทำธุรกรรมแบบนี้โดยไม่มีการอนุมัติจากรัฐ ก็ยังมีความเสี่ยงทางกฎหมายสูง สุดท้ายแล้วตลาดแบบนั้นจึงดูเหมือนจะทำงานจริงได้ยาก
    • หรือไม่ก็คนทำมัลแวร์เองอาจกำลังปวดหัวกับการคัด รายงานขยะจาก AI อยู่เหมือนกัน

  • Hackerone มี ระบบชื่อเสียงของแฮ็กเกอร์ อยู่แล้ว ถ้าจะให้ดี ก็น่าจะใช้เป็น โปรแกรมแบบปิดที่เชิญเฉพาะแฮ็กเกอร์ที่ผ่านการยืนยันแล้ว ไม่รู้ว่าทำไมถึงไม่ทำ

    • แต่ถ้าทุกโปรเจกต์ทำแบบนั้นหมด แฮ็กเกอร์หน้าใหม่ก็จะไม่มีโอกาสพิสูจน์ตัวเอง สุดท้ายกำแพงในการเข้าสู่ระบบนิเวศก็อาจสูงเกินไป

  • นอกจากรางวัลเป็นเงินแล้ว ยังมีแรงจูงใจอย่าง ชื่อเสียงหรือการได้ CVE ด้วย Stenberg เคยเขียนในบล็อกถึงกรณีช่องโหว่ที่ถูกประเมินเกินจริงหลายครั้ง ซึ่งบางเคสดูเหมือนเป็นการพูดเกินเพื่อหวังชื่อเสียง แรงจูงใจแบบนี้จัดการด้วยการออกแบบ incentive ได้ยาก

  • มีวิดีโอที่ช่วยให้เห็นฉากหลังของปัญหานี้ → ลิงก์ YouTube

    • ลองเปิดดูแล้ว แต่ทุกวันนี้ น้ำเสียงและท่าทางเวอร์แบบ YouTube ทำให้เหนื่อยมาก เลยปิดไปอย่างรวดเร็ว ไมโครโฟนขนาดยักษ์ ท่าทางโอเวอร์ และคำพูดเกินจริงอย่าง “awesome”, “insane” ที่ครอบงำทั้งบทสนทนา ทำให้รู้สึกล้ามาก

  • คำพูดที่ว่า “รางวัลแค่เท่าค่าอาหารกลางวันในสวีเดนก็ถือว่าเยอะสำหรับคนในประเทศรายได้น้อย” ฟังดูเป็น คำกล่าวเกินจริง อาหารกลางวันในย่านใจกลางสตอกโฮล์มก็ราว 200 โครนา คนที่มีทักษะแบบนั้นไม่น่าจะมองว่านั่นเป็น “เงินก้อนใหญ่”

    • แต่ถ้ามองจากประเทศกำลังพัฒนา เพดาน 10,000 ดอลลาร์ อาจเทียบได้กับค่าแรงขั้นต่ำหลายปี ถึงจะพูดเกินไปบ้าง แต่ก็เป็นความต่างที่มองข้ามไม่ได้

  • bug bounty ของบริษัทเราจริงๆ แล้วแทบจะมีแค่ อีเมลสำหรับ security อยู่ช่องทางเดียว แต่ก็มีสแปมเข้ามาเกินวันละ 100 ฉบับ ส่วนใหญ่เป็น รายงาน pentest ปลอม ที่ AI สร้างขึ้น เต็มไปด้วยช่องโหว่ปลอมและข้อมูลผิดๆ ถึงขั้นที่เซลส์พยายามนัดประชุม 3 ชั่วโมง ทั้งที่ในรายงานใส่ทั้งบั๊ก IIS ที่ไม่มีอยู่จริงและ IP address ที่เป็นไปไม่ได้ ตอนนั้นผมพูดอะไรไม่ออกจริงๆ

  • เมื่อก่อนการหาบั๊กช้าและเหนื่อย จึงต้องมีแรงจูงใจ แต่ตอนนี้สิ่งที่ยากกว่ากลับเป็น การคัดบั๊กจริงออกจากกองขยะ ถึงขนาดมีมุกว่า AI bug hunter “หาเจอของจริง 3 จาก 100”

    • แต่ถึงอย่างนั้น การค้นหาช่องโหว่ร้ายแรงก็ยังเป็นงานของมนุษย์ ช่องโหว่ใน codebase แบบ cURL หรือ binary exploit นั้น AI ยังทำไม่ได้
    • สุดท้ายกระบวนการตัดสินว่าอะไรคือบั๊กจริงก็ยังทั้งช้าและเหนื่อยเหมือนเดิม

  • มีการเปิดเผย รายการรายงานขยะที่สร้างโดย AI ของ cURL ไว้ด้วย → ลิงก์ gist

    • ในรายงานชิ้นที่สอง Daniel พยายามคุยอย่างสุภาพ แต่คู่สนทนากลับเรียกชื่อเขาผิดตั้งแต่ต้น เหตุการณ์นั้นเกิดในเดือนธันวาคม 2023 คงเหนื่อยมากจริงๆ
    • ลองอ่านอยู่ไม่กี่ชิ้น ก็แยกไม่ออกว่าเป็นงานที่ AI เขียนหรือ นักเรียนมือใหม่เขียน แต่ถึงอย่างนั้น LLM ก็ดูพูดได้น่าเชื่อถือกว่า
    • เห็นประโยคที่ว่า “ค้นหาช่องโหว่นี้จาก Bard” แล้วก็หลุดขำ การพูดถึง Bard ในฐานะ LLM ทำให้รู้สึกแปลกๆ ดี
    • ทั้งหมดมันชัดเจนว่าเขียนโดย AI แต่ทีมงานกลับตอบอย่างจริงจัง จนรู้สึกแปลกกว่าอีก
    • เอาจริงๆ แค่อ่านก็ น่าหงุดหงิด แล้ว ยิ่งทำให้ประหลาดใจว่า cURL อดทนรับมือกับเรื่องนี้มาได้นานขนาดนี้