Im Sommer 2025 beschwerte sich der cURL-Entwickler Daniel Stenberg, sein Projekt werde von schlechten, von KI erzeugten Bugreports überschwemmt, die dazu führen könnten, dass das Bug-Bounty-Programm der Software eingestellt werden müsse. Auch andere Projekte klagten über Massen von KI-Müll.
Keine Bug-Bounties mehr
Im Januar 2026 kam es dann zur Abschaltung des Bug-Bounty-Programms, das bis dahin für die Entdeckung einer Sicherheitslücke mittleren Schweregrads 2.500 USD pro Fall zahlte. Mit der zunehmenden Nutzung von KI wurde mehr und mehr Entwicklerzeit verschwendet, da per LLM generierte Bugreports oft schwerer als Unsinn zu entlarven sind als von Menschen verfasste Reports. So waren im Jahr 2025 rund 20 % aller Einreichungen unbrauchbarer KI-Müll.
Bessere Qualität
Jetzt meldet sich Stenberg mit einem Blogeintrag zurück, der eine Verbesserung der Situation attestiert. Die Meldefrequenz hat sich demnach im Vergleich zu den Zahlen aus dem Jahr 2025 etwa verdoppelt, aber die Qualität der KI-Beiträge sei gestiegen. Die Rate bestätigter Sicherheitslücken hat das Niveau vor dem Einsatz von KI im Jahr 2024 wieder erreicht und sogar übertroffen, was bedeutet, dass sie im Bereich von 15–16 % liegt. Weiterhin ist der Anteil der Meldungen, die einen Fehler identifizieren, also keine Sicherheitslücken, sondern dennoch eine Art von Problem darstellen, deutlich höher als zuvor.
Weitere Zunahme erwartet
Fast jeder Sicherheitsbericht nutzt heutzutage KI in unterschiedlichem Maße. Der Unterschied zu früher besteht jedoch darin, dass sie heute meist von sehr hoher Qualität sind. Viele andere Projekte bestätigten diesen Trend, wie Stenberg bei einer nicht repräsentativen Umfrage auf Mastodon feststellte. Die explosionsartige Zunahme von gemeldeten Sicherheitslücken, bei denen Stenberg vorläufig kein Ende sieht, führt trotz höherer Qualität zur Überlastung der Maintainer.
Keine neuen Fehlerklassen
Software wird nie fehlerfrei sein. KI sorgt lediglich dafür, dass sie schneller entdeckt werden können. Mozilla-CTO Bobby Holley stellte kürzlich im Mozilla-Blog fest, dass Anthropics neue KI Claude Mythos zwar viele Lücken im Code von Firefox 150 entdeckt hatte, aber sich keine darunter fand, die nicht auch von Menschen hätte entdeckt werden können.
Ist die Frage, ob alleine das hilft. Also ist toll, neue Sicherheitslücken zu finden klar. Aber viele Open Source Projekte ersticken bereits jetzt an hunderten offenen Issues/Bug Reports, dass man da mit der Umsetzung kaum hinterherkommt. Da müsste Mythos auch unterstützen können.
> Da müsste Mythos auch unterstützen können.
kann es. Es ist ja laut Anthropic der Nachfolger von Opus. Also ein auf coding spezialisiertes Modell. Wenn Du die Tokens dafür bezahlst, wird es Dir helfen die Lücken auch zu stopfen. Bzw. hilft es aktuell den Projekten, die über das Projekt Glasswing bereits Zugriff darauf haben.
“KI Claude Mythos zwar viele Lücken… nicht auch von Menschen hätte entdeckt werden können.”
Darum geht es im Wesentlichen auch nicht meiner Meinung nach.
Wesentlich ist, daß es eine bequemere und somit zeiteffizientere Möglichkeit gibt, diese Fehler aufzuspüren.
Was der Mozilla TCO meinte ist meiner Meinung nach, dass es eine Eskalation gewesen wäre, wenn Mythos Lücken gefunden hätte, die menschliche Reviewer gar nicht hätten finden können, etwa weil sie neue Methoden verwenden.
@Kai: im Prinzip gebe ich Dir recht, aber diese Denkweise hat zwei Seite. In einem anderen Forum ging es um die Klage gegen OpenAI in Sachen Verantwortung bei der Vorbereitung zu einem Amoklauf. Dort wurde argumentiert, diese Effizienzsteigerung sei nicht so gravierend, so daß OpenAi keine Verantwortung trägt.
Was ich sagen will, dasselber Argument wird einmal pro und einmal contra ausgelegt. Das ist ein Widerspruch (zugegeben, nicht bei Dir.)