cURL — программа, через которую проходит огромная часть интернет-трафика — получила 181 баг-репорт в 2025 году. Это столько же, сколько за два предыдущих года вместе взятых. К апрелю 2026 уже 87. Проблема: меньше 5% из них содержат реальные уязвимости, но каждый требует около 2 часов ручной проверки. У cURL всего 6 мейнтейнеров, один на полной ставке.

Модель Anthropic Mythos нашла 27-летний баг в OpenBSD и 16-летний в FFmpeg, который автоматические тесты прошли 5 млн раз. И теперь это может сделать любой с открытой моделью и $30. Индустрия реагирует: cURL закрыл свою HackerOne bounty-программу, Linux Foundation запустил экстренную инициативу на $12,5 млн. Но тонны AI-шума уже легли на плечи добровольцев, на которых держится интернет.