Один шведский разработчик заставляет curl работать на каждом телефоне, автомобиле и консоли на Земле. 47 автомобильных брендов используют его. Никто ему не платит. А теперь ИИ-боты заваливают его почтовый ящик.
Десять миллиардов установок. Один мейнтейнер.
curl - это маленькая утилита командной строки, которая передает данные через интернет. Когда ваш телефон скачивает обновление, когда браузер загружает страницу, когда ваша машина говорит с сервером - что-то должно обрабатывать этот сетевой запрос. На большинстве устройств это «что-то» - curl. Он невидим, он работает везде, и почти никто не знает о его существовании.
Это история об одном человеке, который поддерживает его работу, и о том, что происходит с ним сейчас.
Даниэль Стенберг взял на себя поддержку небольшого инструмента для загрузки по HTTP в 1996 году. Изначально утилита называлась httpget и была создана Рафаэлем Сагулой. Стенберг значительно расширил ее и переименовал в curl в 1998 году. Он никогда не прекращал поддерживать ее.
Сегодня curl поставляется внутри Windows, macOS, Linux, Android и iOS. Он работает на каждой PlayStation, каждом Xbox и каждой консоли Nintendo. Netflix стримит через него. Spotify стримит через него. Ваш умный телевизор, вероятно, зависит от него. Один шведский разработчик поддерживает работу всего этого.
В 2025 году Швеция назвала Стенберга Разработчиком года. В тот же период он начал писать посты в блоге о выгорании. Он также начал документировать новую угрозу: созданные ИИ фейковые баг-репорты, наводняющие его трекер задач, тратящие часы его времени каждую неделю.
Награда и посты о выгорании прибыли вместе. Это должно сказать вам все, что нужно знать о состоянии поддержки мейнтейнеров опенсорса.
Если эта история расстраивает вас, похлопайте, чтобы больше инженеров увидели ее. Это не только проблема curl.
47 автомобильных брендов, ноль контрибьюторов
Цифры внедрения ошеломляют. Согласно собственной документации Стенберга, 47 автомобильных брендов поставляют curl в своих машинах. Не 47 моделей авто. Сорок семь различных производителей.
Apple поставляет curl. Microsoft поставляет curl. Google поставляет curl. Amazon поставляет curl. Никто из них не нанимает Даниэля Стенберга. Он работает в wolfSSL, которая спонсирует его время на поддержку curl, но это маленькая компания, несущая вес инфраструктуры, используемой корпорациями на триллионы долларов.
Реальность с контрибьюторами столь же сурова. Около 10 человек вносят вклад регулярно. Проект получал патчи от сотен разработчиков за время своего существования, но Стенберг проверяет почти каждый коммит, обрабатывает отчеты о безопасности, управляет релизами, отвечает на баг-репорты, пишет документацию и поддерживает направление проекта.
Я потратил 20+ лет, создавая системы, которые зависят от библиотек точно так же, как curl. Каждая платформа, которую я когда-либо проектировал, от телекоммуникаций до цифрового здравоохранения, имела curl где-то в дереве зависимостей. Мы все потребляем эту работу. Почти никто за нее не платит.
«DDoS-атака на мейнтейнеров»
Начиная с конца 2024 года и усиливаясь в течение 2025-го, Стенберг начал документировать новый феномен. Сгенерированные ИИ баг-репорты начали наводнять трекер задач проекта curl.
Это не были полезные вклады. Это были сфабрикованные уязвимости безопасности, написанные людьми, использующими ChatGPT, Claude или подобные инструменты для генерации убедительно звучащих, но полностью вымышленных отчетов об уязвимостях. Стенберг назвал это именно тем, чем это было: «DDoS-атакой на мейнтейнеров».
Однако проблема часто кроется не в самом факте использования ИИ, а в качестве моделей и целях. Для реальной работы с кодом, рефакторинга и поиска настоящих (а не выдуманных) багов нужны топовые нейросети, которые меньше галлюцинируют.
Сервисы вроде BotHub дают доступ к лучшим моделям в одном окне. Это мощный инструмент для тех, кто хочет писать качественный код, а не спамить мейнтейнеров.
Для доступа не требуется VPN, можно использовать российскую карту.
По ссылке вы можете получить 300 000 бесплатных токенов для первых задач и приступить к работе с нейросетями прямо сейчас!
Паттерн был последовательным. Кто-то просил ИИ «найти уязвимости безопасности в curl», ИИ галлюцинировал правдоподобно звучащее переполнение буфера или проблему повреждения памяти, человек отправлял это как баг-репорт (иногда даже запрашивая CVE), а Стенбергу приходилось тратить время на расследование, проверку того, что это фейк, и закрытие отчета.
Каждый фейковый отчет стоит реального времени. Вы не можете просто отмахнуться от них без проверки. Легитимная уязвимость безопасности в curl могла бы затронуть миллиарды устройств. Поэтому Стенберг должен относиться к каждому отчету достаточно серьезно, чтобы подтвердить, что он сфабрикован. The Register сообщил, что проект curl начал требовать от контрибьюторов подтверждать, что отчеты не сгенерированы ИИ, и начал банить повторных нарушителей.
Мотивация за этими подачами? Баг-баунти. Люди хотят получить кредит за нахождение уязвимостей, не проводя реальных исследований безопасности. ИИ делает легким создание чего-то, что выглядит профессионально. Человек на принимающей стороне платит цену.
Разработчик года, документирующий выгорание
Швеция назвала Стенберга Разработчиком года в 2025 году. Он заслужил это. curl - один из самых успешных опенсорс-проектов в истории. Библиотека cURL (libcurl) предоставляет возможности передачи по HTTP для оценочно десяти миллиардов установок по всему миру.
Но почитайте блог Стенберга за тот же период, и вы найдете другую историю. Он открыто писал о неустойчивости соло-поддержки, об истощении от управления постоянно растущим проектом с по сути тем же размером команды, что и десятилетие назад, и о том, как корпоративное внедрение никогда не транслируется в корпоративную поддержку.
Этот разрыв между признанием и устойчивостью не уникален для curl. Это центральный провал модели корпоративного потребления опенсорса. Компании получают миллиарды долларов ценности. Мейнтейнер получает награду и выгоревший почтовый ящик.
Видели ли вы этот паттерн в проектах, от которых зависите? Я хочу услышать об этом в комментариях.
Реальная проблема автобусного фактора
LWN.net задокументировал более глубокую структурную проблему. У curl автобусный фактор (bus factor) равен единице. Если Даниэль Стенберг перестанет поддерживать curl завтра (выгорание, здоровье, пенсия или просто решение, что с него хватит), нет плана преемственности, который соответствовал бы его 28 годам институциональных знаний.
Протокол HTTP сложен. curl поддерживает десятки протоколов, сотни опций и тысячи пограничных случаев (edge cases), накопленных за почти три десятилетия. Найти кого-то, кто понимает все это, - это не проблема найма. Это проблема знаний, на построение которых уходят годы.
Это не теория. Уязвимость Heartbleed в OpenSSL в 2014 году обнажила тот же паттерн. Критическая часть интернет-инфраструктуры, поддерживаемая крошечной командой с минимальным финансированием. Индустрия запаниковала, создала Core Infrastructure Initiative (теперь Open Source Security Foundation), а затем постепенно вернулась к потреблению без вклада.
Три вещи, которые нужно изменить
Стенберг не просит сочувствия. Он просит структурных изменений. Основываясь на его записях, три вещи должны произойти.
Во-первых, корпорации должны финансировать инфраструктуру, от которой зависят. Не через разовые пожертвования. Через устойчивое трудоустройство или контракты на поддержку. Если 47 автомобильных брендов используют curl, по крайней мере некоторые из них должны нанимать мейнтейнеров curl. Модель Linux Foundation с ядром показывает, что это работает. Мейнтейнеры ядра наняты компаниями, которые поставляют Linux. curl заслуживает того же.
Во-вторых, проблема ИИ-мусора требует решений на уровне платформ. GitHub и другие платформы, хостящие трекеры задач, нуждаются в автоматическом обнаружении сгенерированных ИИ отчетов об уязвимостях. Бремя фильтрации машинно-сгенерированного шума не должно ложиться на соло-мейнтейнеров. Требование Стенберга, чтобы репортеры подтверждали, что их подачи написаны человеком, - это временная мера, а не решение.
В-третьих, осведомленность об автобусном факторе должна стать требованием безопасности цепочки поставок. Если ваша компания проводит аудит цепочки поставок ПО (а вы должны), включите устойчивость мейнтейнера как метрику риска. Критическая зависимость, поддерживаемая одним человеком, - это уязвимость цепочки поставок, даже если сам код безопасен.
Начните относиться к мейнтейнерам опенсорса как к инфраструктуре
curl - это не сторонний проект (side project). Это инфраструктура. Он перемещает данные через интернет на большее количество устройств, чем любая другая библиотека. Он делал это надежно в течение 28 лет, потому что одному человеку было достаточно не все равно, чтобы продолжать делать работу.
Даниэль Стенберг построил нечто экстраординарное. Ответом индустрии было потребление этой работы, вручение ему награды и позволение ИИ-ботам наводнить его трекер задач.
Если ваша компания использует curl (а она использует), проверьте, вносите ли вы вклад обратно. Если нет, начните. Финансируйте проект. Назначьте инженера для контрибьютинга в апстрим. Относитесь к этому как к инфраструктуре, которой это и является.
От каких критических опенсорс-проектов зависит ваша команда, не внося в них вклад? Мне искренне любопытно.
Комментарии (57)
FlyingDutchman2
22.02.2026 05:59Награда и посты о выгорании прибыли вместе.
Происходит что вот, когда пишет ИИ человека вместо.
oeditus
22.02.2026 05:59Что именно вас смутило в этой фразе?
FlyingDutchman2
22.02.2026 05:59Когда прочитал первый раз, то показалось, что имеется в виду "прибыль" как существительное, то есть речь идет о "выгорании прибыли". А сейчас кажется, что это больше глагол (хотя я и не уверен).
axion-1
22.02.2026 05:59Как вариант, сделать bug bounty по белому списку, для остальных временно отключить. Понятно что в таком решении есть минусы, но возможно это будет лучше чем тратить время разработчика впустую.
SukhovPro
22.02.2026 05:59Сделать баг баунти платным, за отправку отчета платиш 1$. Если его не приняли теряеш деньги в счет общего банка разработчика, если приняли, то ранее собранные деньги от ложных сообщений - получаеш как бонус. МММ наоборот!
Если банк пустой оказался, то просто не теряеш свой 1$, но как и раньше получаеш карму от опенсорса.
Тоже самое с PR.1$ условность, устанавливая эту сумму регулируем поток, как сложность высичления в блокчейне. Мало отчетов, ставим цену 0, отчеты повалили, можем и 100 и 1000 поставить, оставив только тех кто в себе уверен.
eugenk
22.02.2026 05:59Ещё в начале нулевых предлагал примерно такой метод борьбы со спамом. На письмо должна быть "наклеена почтовая марка", без которой оно не доставляется. За деньги, хотя и не очень большие. Скажем 1 цент. Если получатель счёл письмо полезным, деньги возвращаются. Если счёл это спамом - уходят в фонд развития интернета.
ivandenisoff
22.02.2026 05:59Вариант хороший, но боюсь наложенная сложность отправки платежа может отпугнуть тех хакеров, кто рад бы внести свой вклад, но не хочет возиться с банками.
С другой стороны можно попробовать принимать $1 криптовалютой, но там придется заплатить еще и fee, который может быть больше чем сам платеж в $1
svpcom
22.02.2026 05:59Ну это уже довольно широко извесная проблема, что производители "железа" паразитируют на opensource сообществе. Причем от них сообщество ни денег не получает ни обратного вклада (я вот пока не видел что бы кто-то выпустил свою железку под открытой лицензией). Что с этим делать непонятно, но это приводит к массовому выгоранию авторов открытых проектов, так как получается что они просто спонсируют китайских (и не очень) производителей.
kostoms
22.02.2026 05:59Он сам такую лицензию использовал. Хотел угодить корпорациям. Результат немного предсказуем.
svpcom
22.02.2026 05:59Даже если у проекта лицензия GPLv2 (ядро линукса), то это никак не мешает продавать миллионы андроид телефонов и камер видеонаблюдения. При этом откровенно нарушать условия лицензии в виде зажимания исходников, поставок бинарных драйверов и/или тулчейнов/SDK (gcc + glibc + binutils) строго под NDA (что запрещается GPL).
Но даже выполнив букву лицензии (обычно в минимальном виде и после многочисленных жалоб), большинство игнорируют ее дух. Но это к сожалению суть капитализма.
kostoms
22.02.2026 05:59Что-то я не слышал чтобы миллионер Торвальдс как-то особенно жаловался на жисть :)
svpcom
22.02.2026 05:59Ну вот остальные тысячи коммитеров в ядро не такие успешные. Менее известные (но важные проекты, например KiCAD) не могут собрать даже $100k при колоссальных затратах усилий на разработку. Вот есть у меня проект с 1.5к звезд на гитхабе. Максимальный донат за 9 лет истории был $15, хотя китайцы продают железки с ним внутри многотысячными тиражами даже не упоминая про него в описании железки.
kostoms
22.02.2026 05:59Ну кетайцам-то всегда было пофиг на лицензии.. Но думаю хотя бы европейские и амерские корпы не позволяют себе нарушать Вашу лицензию.
carolinux
22.02.2026 05:59>остальные тысячи коммитеров
если говорить о ядре, то коммитеры всех важных подсистем много лет на зарплате. время фофанов ушло лет 15 назад.
вот мэйнтейнеров какого-нибудь дебиана, void, arch да, жалко. но их никто не заставляет ведь?
svpcom
22.02.2026 05:59Ну вот я подерживаю just-for-fun например драйвер для realtek 8812au (правда как отдельностоящий модуль, а не часть ядра). Как ни странно это почему-то не особо нужно даже самому realtek'у (его новые версии драйвера идут с урезаным функционалом). Никакой помощи от реалтека (даже в виде документации на регистры чипа) естественно нет.
По поводу дебиана - ну вот это сейчас единственный дистрибутив (после кончины центоса и протухания убунты), который можно использовать для повседневной жизни. И такое перекос в финансировании (по сравнению с redhat) действительно удручает.
NutsUnderline
22.02.2026 05:59realtek ведь изначально выложил хоть какие то сырцы драйвера? Исследую на досуге феномен легенд когда некоторый разработчик якобы в одиночку и в сжатый срок написал что то такое (gsm стек например, qemu, или как geohotz - вчера теслу ломанул, сегодня - плестейшн.) и почти всегда оказывается откуда взялась куча исходников а то и документация.
svpcom
22.02.2026 05:59Да, есть несколько разных версий драйвера (исходники, практически без комментариев и без внятного changelog'а), которые он выкладывал для соблюдения gpl лицензии (при поставке бинарных драйверов к своим устройствам). Документации на регистры самого чипа нет никакой (можно только догадываться на основе макросов их названия и пробовать менять и смотреть что получится). Еще например есть чип rtl8812eu вообще официально не существует (судя по сайту реалтека), но зато массово продается.
Собственно модификация драйвера потребовалась, чтобы туда добавить режим инжекции пакетов.
Написать драйвер с нуля не имея документации на чип практически невозможно.
NutsUnderline
22.02.2026 05:59Написать драйвер с нуля не имея дукументации на чип практически невозможно.
спасибо, буду ссылаться на компетентного специалиста
svpcom
22.02.2026 05:59Если устройство относительно простое (когда оно stateless или внутреннее состояние очень простое - например клавиатура), то можно поставить usb-sniffer и реверсировать протокол общения. Но если это что-то сложное (например wifi адаптер или scsi драйвер), то внутренее состояние у него это тысячи регистров ввода-вывода. И понять что из них на что влияет практичестки без шансов. Там количество комбинаций будет экспоненциально большое. Плюс еще будут взаимные зависимости между ними.
Все взломы аппаратных защит (вроде как) базировались на перехвате сигналов через внутрениие шины. При этом что именно там передавалось было заранее примерно понятно.
Anfisapi
22.02.2026 05:59Делать платной коммерческую лицензию (если быть точнее брать процент с продаж), по поводу кто выпускал из крупных, на самом деле их много было, особенно фреймворки некоторые компании свои неплохо сливают. Ну да ладно
svpcom
22.02.2026 05:59Это потребудет двойного лицензирования и передачи права на код для всех pull-request'ов, так как тот же GPL запрещает такое. Соответственно вся разработку будет уже не сообществом, а одним автором (плюс мелкие багфиксы от сообщества с передачей прав). Я сомневаюсь, что кто-то сторонний захочет серьезно вкладываться в разработку и при этом передавать права на код кому-то другому.
Anfisapi
22.02.2026 05:59Если делать что-то по типу «open core», может не понадобиться двойное лицензирование
carolinux
22.02.2026 05:59Проблема есть... но чем libcurl лучше libxml?
В этом и крутизна опенсорса, постоянно приходят новые буратины и работают забесплатно. Реальной стагнации нет. Помрёт автор curl-а, его форкнут или придёт какая-нибудь замена на расте. Се ля ви...
Rigidus
22.02.2026 05:59Ага, ну да, конечно. Придет замена и будет тратить по восемь часов в течении шести месяцев, чтобы поднять в голову знания о проекте, который разрабатывался 30 лет. Это нужно быть очень самоотверженным разработчиком, чтобы такое сделать, да еще и понимая, что твой вклад не будет никак вознагражден.
Однако если вдруг найдется black hat, который хотел бы монетизировать поддержку, добавив бакдоров - вот тут для него будет раздолье..
janvarev
22.02.2026 05:59Можно и black hat...
Но скорее найдется 1-2 оптимиста, которые придут, скажут, "ну, это кодовая база сложна, надо все переписать" и начнут писать curl2. С 10% ключевой функциональности, положив на краевые случаи. А curl объявят небезопасным, потому что он устарел и не обновляется... (это кино мы уже видели)
Dhwtj
22.02.2026 05:59Open source должен адаптировать или умереть
alexandr93
22.02.2026 05:59Чтобы делал корпоративный софт, если бы не было опенсорса? Расходы были бы кратно выше. Да и данных для обучения ИИ моделей было бы меньше.
Dhwtj
22.02.2026 05:59Так бы и сидел под вендор локом купленного ПО.
Но я лично ничего даром кодить не собираюсь. И как живёт open source для меня загадка
akirsanov
curl - это не только "маленькая утилита командной строки, которая передает данные через интернет."
libcurl - это основной код и проект, а "маленькая утилита командной строки" - это обертка для этой библиотеки.
Даниэль Стенберг работает над проектом cURL, который включает и основную оболочку, и обертку, причем библиотека без оболочки самостоятельна, а оболочка без библиотеки - нет, libcurl должен либо присутствовать в системе, либо линковаться статически в обертку.
В общем "маленькая утилита командной строки" - это лишь маленькая, и неотделимая от libcurl часть проекта cURL.
equeim
Libcurl используется только в каких-нибудь сишных проектах. У каждого языка и фреймворка свой сетевой стек. Для большинства пользователей curl'а libcurl это всего лишь деталь его реализации.
akirsanov
да хотяб посмотрите на php
equeim
Это скорее исключение чем правило
kostoms
Думаю во фразе "Netflix стримит через него. Spotify стримит через него." речь шла не о самой утилите.
eugenk
Языки и фреймворки предоставляют только интерфейс. В самом низу там всё равно та же самая lubcurl
equeim
В самом низу там tcp и udp предоставляемые ОС. А с HTTP целый зоопарк реализаций. У Java, .net, Go, Python свои реализации HTTP в стандартных библиотеках. У C++, Rust (да и у питона с джавой) множество библиотек с опять же независимыми реализациями. PHP использующий curl это исключение.
TLS тоже к curl никакого отношения не имеет. Многие использует системные апи на маке/винде либо openssl. Сейчас также есть тренд на свои реализации и форум openssl.