Web 通信ライブラリの代名詞である curl が、2026 年 7 月 1 日から約 1 ヶ月間、脆弱性報告の受付を完全停止する。再開は 8 月 3 日、その間 GitHub 上の Issue と Pull Request は通常通り受け付けるが、HackerOne 経由のセキュリティアドバイザリ報告は止まる。OSS のメンテナンスがどこかで限界を迎えていることを、ほぼ単独メンテナの Daniel Stenberg がはっきりと宣言した格好だ。
「攻撃者は休まないが、我々は休む」 #
Stenberg がブログで挙げた数字は端的だ。2026 年春以降に届いた脆弱性報告は、2024 年比で 4〜5 倍、2025 年比で約 2 倍、平均すると 1 日 1 件を超えるペース。しかも今回は「質の高い、詳細な」報告が中心で、これまでの AI スロップ報告 (自動生成された的外れな疑似 CVE) とは性質が違う、と Stenberg は強調している。つまり curl は 本物の脆弱性ハンターたちのターゲットになり切っている。
curl は OpenSSH や Git、IoT 機器、車載ネットワーク、宇宙機まで世界中の 200 億インストールに乗る。そこで見つけた CVE 1 件は研究者にとってブランドにも報奨金にもなる。一方でメンテナ側は、1 件あたり数時間〜数日の検証・再現・修正・調整に追われる。受信側が個人の OSS 開発者である限り、報告と修正の非対称性はどこかで破綻する。今回の「夏休み」は、その破綻点を制度として可視化したと言える。
真の脆弱性が増えれば増えるほど詰むという矛盾 #
ここがハッカー視点では一番皮肉だ。「AI 自動生成のゴミ報告を弾けば現場は楽になる」 という昨年までの議論の続きだと思って読むと外れる。Stenberg は今回、ゴミではなく 本物のバグハント結果が多すぎて回らない と言っている。Fuzzer の進化、SAST / DAST ツールの低価格化、そして AI コードリーディング支援によって、個人や少人数チームが OSS 脆弱性を見つけられる時代が、curl のメンテナを物理的に潰す段階まで来た。
curl は有料サポート顧客には期間中も対応を継続する。これは「自分の依存している OSS の継続性を金で確保したいなら、いい加減そのコストを払え」という Stenberg からの長年のメッセージの再放送でもある。apt install curl で無料で恩恵を受けている全産業にとって、これは 来年以降の自社ソフトウェア BoM (SBOM) のリスク評価に直結する話だ。攻撃者は確かに休まない。だがメンテナを休ませない仕組みのまま走り続ければ、いつか curl も SolarWinds 型サプライチェーン事案の文脈で名前を呼ばれることになる。
COMMENTS 0
No comments yet — be the first to leave one.