Laporan keamanan berbantuan AI ke curl kini empat sampai lima kali rate 2024
Daniel Stenberg, ketua proyek curl, menulis bahwa laporan kerentanan dengan bantuan AI kini masuk dengan kecepatan empat sampai lima kali rate 2024 dan sekitar dua kali rate 2025, rata-rata lebih dari satu laporan per hari. Simon Willison mengutip tulisan itu dan menyorot bagian yang paling meresahkan, laporannya tidak lagi mudah ditolak. Tulisannya rinci, rapi, dan menyita waktu engineering tim untuk diperiksa serius.
Beban personalnya mulai terasa. Stenberg menyebut, untuk pertama kalinya istrinya menyampaikan kekhawatiran soal jam kerja dan keseimbangan hidupnya. Imbalan pekerjaannya pun tidak sebanding. Meski jumlah laporan melonjak, tingkat keparahannya tetap ringan, mayoritas masuk kategori LOW atau MEDIUM, dan kerentanan HIGH terakhir di curl dilaporkan Oktober 2023. Engineering curl cukup kokoh sehingga laporan berbantuan AI jarang mengangkat hal katastrofis, tapi tiap laporan tetap mendapat tanggapan, karena curl adalah curl.
Gambarannya jelas, ketika LLM yang capable bertemu infrastruktur kritis yang dirawat tim kecil yang berprinsip, biayanya bergeser. Industri bug bounty kini punya cara nyaris gratis untuk memproduksi laporan kredibel dalam jumlah besar, dan ongkosnya jatuh ke maintainer sukarela yang tidak punya pilihan untuk mengabaikannya.
Kenapa ini penting
Bagi yang mendanai atau berkontribusi di open source security, angka utama bukan jumlah kerentanan, tetapi waktu maintainer. Mendanai kapasitas triage untuk proyek seperti curl saat ini lebih berdampak daripada alat scanning baru mana pun, sebab bottleneck-nya sudah pindah dari menemukan bug menjadi menjawab laporan.