[Перевод] 10 миллиардов устройств работают на его коде. Он поддерживает его в одиночку. Теперь его атакует ИИ

Один шведский разработчик заставляет curl работать на каждом телефоне, автомобиле и консоли на Земле. 47 автомобильных брендов используют его. Никто ему не платит. А теперь ИИ-боты заваливают его почтовый ящик.

Десять миллиардов установок. Один мейнтейнер.

curl - это маленькая утилита командной строки, которая передает данные через интернет. Когда ваш телефон скачивает обновление, когда браузер загружает страницу, когда ваша машина говорит с сервером - что-то должно обрабатывать этот сетевой запрос. На большинстве устройств это «что-то» - curl. Он невидим, он работает везде, и почти никто не знает о его существовании.

Это история об одном человеке, который поддерживает его работу, и о том, что происходит с ним сейчас.

Даниэль Стенберг взял на себя поддержку небольшого инструмента для загрузки по HTTP в 1996 году. Изначально утилита называлась httpget и была создана Рафаэлем Сагулой. Стенберг значительно расширил ее и переименовал в curl в 1998 году. Он никогда не прекращал поддерживать ее.

Сегодня curl поставляется внутри Windows, macOS, Linux, Android и iOS. Он работает на каждой PlayStation, каждом Xbox и каждой консоли Nintendo. Netflix стримит через него. Spotify стримит через него. Ваш умный телевизор, вероятно, зависит от него. Один шведский разработчик поддерживает работу всего этого.

В 2025 году Швеция назвала Стенберга Разработчиком года. В тот же период он начал писать посты в блоге о выгорании. Он также начал документировать новую угрозу: созданные ИИ фейковые баг-репорты, наводняющие его трекер задач, тратящие часы его времени каждую неделю.

Награда и посты о выгорании прибыли вместе. Это должно сказать вам все, что нужно знать о состоянии поддержки мейнтейнеров опенсорса.

Если эта история расстраивает вас, похлопайте, чтобы больше инженеров увидели ее. Это не только проблема curl.

47 автомобильных брендов, ноль контрибьюторов

Цифры внедрения ошеломляют. Согласно собственной документации Стенберга, 47 автомобильных брендов поставляют curl в своих машинах. Не 47 моделей авто. Сорок семь различных производителей.

Apple поставляет curl. Microsoft поставляет curl. Google поставляет curl. Amazon поставляет curl. Никто из них не нанимает Даниэля Стенберга. Он работает в wolfSSL, которая спонсирует его время на поддержку curl, но это маленькая компания, несущая вес инфраструктуры, используемой корпорациями на триллионы долларов.

Реальность с контрибьюторами столь же сурова. Около 10 человек вносят вклад регулярно. Проект получал патчи от сотен разработчиков за время своего существования, но Стенберг проверяет почти каждый коммит, обрабатывает отчеты о безопасности, управляет релизами, отвечает на баг-репорты, пишет документацию и поддерживает направление проекта.

Я потратил 20+ лет, создавая системы, которые зависят от библиотек точно так же, как curl. Каждая платформа, которую я когда-либо проектировал, от телекоммуникаций до цифрового здравоохранения, имела curl где-то в дереве зависимостей. Мы все потребляем эту работу. Почти никто за нее не платит.

«DDoS-атака на мейнтейнеров»

Начиная с конца 2024 года и усиливаясь в течение 2025-го, Стенберг начал документировать новый феномен. Сгенерированные ИИ баг-репорты начали наводнять трекер задач проекта curl.

Это не были полезные вклады. Это были сфабрикованные уязвимости безопасности, написанные людьми, использующими ChatGPT, Claude или подобные инструменты для генерации убедительно звучащих, но полностью вымышленных отчетов об уязвимостях. Стенберг назвал это именно тем, чем это было: «DDoS-атакой на мейнтейнеров».

Однако проблема часто кроется не в самом факте использования ИИ, а в качестве моделей и целях. Для реальной работы с кодом, рефакторинга и поиска настоящих (а не выдуманных) багов нужны топовые нейросети, которые меньше галлюцинируют.

Сервисы вроде BotHub дают доступ к лучшим моделям в одном окне. Это мощный инструмент для тех, кто хочет писать качественный код, а не спамить мейнтейнеров.

Для доступа не требуется VPN, можно использовать российскую карту.

Паттерн был последовательным. Кто-то просил ИИ «найти уязвимости безопасности в curl», ИИ галлюцинировал правдоподобно звучащее переполнение буфера или проблему повреждения памяти, человек отправлял это как баг-репорт (иногда даже запрашивая CVE), а Стенбергу приходилось тратить время на расследование, проверку того, что это фейк, и закрытие отчета.

Каждый фейковый отчет стоит реального времени. Вы не можете просто отмахнуться от них без проверки. Легитимная уязвимость безопасности в curl могла бы затронуть миллиарды устройств. Поэтому Стенберг должен относиться к каждому отчету достаточно серьезно, чтобы подтвердить, что он сфабрикован. The Register сообщил, что проект curl начал требовать от контрибьюторов подтверждать, что отчеты не сгенерированы ИИ, и начал банить повторных нарушителей.

Мотивация за этими подачами? Баг-баунти. Люди хотят получить кредит за нахождение уязвимостей, не проводя реальных исследований безопасности. ИИ делает легким создание чего-то, что выглядит профессионально. Человек на принимающей стороне платит цену.

Разработчик года, документирующий выгорание

Швеция назвала Стенберга Разработчиком года в 2025 году. Он заслужил это. curl - один из самых успешных опенсорс-проектов в истории. Библиотека cURL (libcurl) предоставляет возможности передачи по HTTP для оценочно десяти миллиардов установок по всему миру.

Но почитайте блог Стенберга за тот же период, и вы найдете другую историю. Он открыто писал о неустойчивости соло-поддержки, об истощении от управления постоянно растущим проектом с по сути тем же размером команды, что и десятилетие назад, и о том, как корпоративное внедрение никогда не транслируется в корпоративную поддержку.

Этот разрыв между признанием и устойчивостью не уникален для curl. Это центральный провал модели корпоративного потребления опенсорса. Компании получают миллиарды долларов ценности. Мейнтейнер получает награду и выгоревший почтовый ящик.

Видели ли вы этот паттерн в проектах, от которых зависите? Я хочу услышать об этом в комментариях.

Реальная проблема автобусного фактора

LWN.net задокументировал более глубокую структурную проблему. У curl автобусный фактор (bus factor) равен единице. Если Даниэль Стенберг перестанет поддерживать curl завтра (выгорание, здоровье, пенсия или просто решение, что с него хватит), нет плана преемственности, который соответствовал бы его 28 годам институциональных знаний.

Протокол HTTP сложен. curl поддерживает десятки протоколов, сотни опций и тысячи пограничных случаев (edge cases), накопленных за почти три десятилетия. Найти кого-то, кто понимает все это, - это не проблема найма. Это проблема знаний, на построение которых уходят годы.

Это не теория. Уязвимость Heartbleed в OpenSSL в 2014 году обнажила тот же паттерн. Критическая часть интернет-инфраструктуры, поддерживаемая крошечной командой с минимальным финансированием. Индустрия запаниковала, создала Core Infrastructure Initiative (теперь Open Source Security Foundation), а затем постепенно вернулась к потреблению без вклада.

Три вещи, которые нужно изменить

Стенберг не просит сочувствия. Он просит структурных изменений. Основываясь на его записях, три вещи должны произойти.

Во-первых, корпорации должны финансировать инфраструктуру, от которой зависят. Не через разовые пожертвования. Через устойчивое трудоустройство или контракты на поддержку. Если 47 автомобильных брендов используют curl, по крайней мере некоторые из них должны нанимать мейнтейнеров curl. Модель Linux Foundation с ядром показывает, что это работает. Мейнтейнеры ядра наняты компаниями, которые поставляют Linux. curl заслуживает того же.

Во-вторых, проблема ИИ-мусора требует решений на уровне платформ. GitHub и другие платформы, хостящие трекеры задач, нуждаются в автоматическом обнаружении сгенерированных ИИ отчетов об уязвимостях. Бремя фильтрации машинно-сгенерированного шума не должно ложиться на соло-мейнтейнеров. Требование Стенберга, чтобы репортеры подтверждали, что их подачи написаны человеком, - это временная мера, а не решение.

В-третьих, осведомленность об автобусном факторе должна стать требованием безопасности цепочки поставок. Если ваша компания проводит аудит цепочки поставок ПО (а вы должны), включите устойчивость мейнтейнера как метрику риска. Критическая зависимость, поддерживаемая одним человеком, - это уязвимость цепочки поставок, даже если сам код безопасен.

Начните относиться к мейнтейнерам опенсорса как к инфраструктуре

curl - это не сторонний проект (side project). Это инфраструктура. Он перемещает данные через интернет на большее количество устройств, чем любая другая библиотека. Он делал это надежно в течение 28 лет, потому что одному человеку было достаточно не все равно, чтобы продолжать делать работу.

Даниэль Стенберг построил нечто экстраординарное. Ответом индустрии было потребление этой работы, вручение ему награды и позволение ИИ-ботам наводнить его трекер задач.

Если ваша компания использует curl (а она использует), проверьте, вносите ли вы вклад обратно. Если нет, начните. Финансируйте проект. Назначьте инженера для контрибьютинга в апстрим. Относитесь к этому как к инфраструктуре, которой это и является.

От каких критических опенсорс-проектов зависит ваша команда, не внося в них вклад? Мне искренне любопытно.