Maintainer contro AI slop: chi molla per primo
Daniel Stenberg ha chiuso il bug bounty di cURL il 31 gennaio 2026. Sei anni di programma, oltre 100.000 dollari pagati a ricercatori veri, e poi basta. Il tasso di segnalazioni valide era precipitato dal 15% al 5% in dodici mesi. L'ultima goccia: sette report fasulli in sedici ore, tutti generati da LLM, tutti confezionati abbastanza bene da richiedere tempo umano per essere smontati.
Mitchell Hashimoto, il creatore di Ghostty, ha messo un ban permanente su chiunque invii codice AI senza capire cosa stia proponendo. Steve Ruiz, autore di tldraw, ha chiuso tutte le PR esterne dal 15 gennaio. Rémi Verschelde di Godot si ritrova con 4.681 pull request aperte e la certezza che una buona parte sia spazzatura mascherata. E GitHub, che ha creato le condizioni per questa valanga, il 14 febbraio ha rilasciato due nuove impostazioni per limitare le PR automatiche.
Il tempismo sarebbe comico, se non ci fosse gente che lavora gratis a tenere in piedi il software su cui gira mezzo Internet.
581 vulnerabilità per codebase, e il contatore sale
Il report OSSRA 2026 di Black Duck ha analizzato 947 codebase commerciali in 17 settori. I risultati sono il tipo di lettura che rovina la giornata: il numero medio di vulnerabilità per codebase è 581, in crescita del 107% rispetto all'anno precedente. L'87% delle codebase contiene almeno una vulnerabilità. Il 44% ne ha di critiche. I conflitti di licenza hanno toccato il 68%, il massimo storico.
E c'è un dato che da solo racconta la crisi meglio di qualsiasi editoriale: il 93% dei componenti open source analizzati risulta inattivo da almeno due anni. Nessun commit, nessuna release, nessun maintainer che risponde alle issue. Codice abbandonato che continua a girare in produzione perché nessuno si prende la briga di aggiornare le dipendenze.
Stiamo cercando di togliere ogni incentivo a inviarci bugie inventate. La qualità delle segnalazioni è precipitata: non sono solo spazzatura evidente, ma anche quelle che non sembrano generate dall'AI sono mediamente peggiori di prima. — Daniel Stenberg, cURL
