Im Sommer berichteten wir, dass Open-Source-Entwickler mit von KI erstellten Merge-Requests und Bugreports über Sicherheitslücken überlastet werden. Diese seien in vielen Fällen fehlerhaft und unbrauchbar und verschlingen wertvolle Entwicklerzeit, ohne etwas Sinnvolles zum Projekt beizutragen.
Curl-Entwickler überlastet
Als Beispiel wurde Daniel Stenberg genannt, der Gründer und Hauptentwickler des weitverbreiteten Netzwerktools Curl, der für sein Projekt ein Bug-Bounty-Programm betreibt, um Entdecker von Sicherheitslücken mit Geldbeträgen zu belohnen. Das Programm zahlte im Jahr 2025 für eine entdeckte Sicherheitslücke mittleren Schweregrads 2.500 USD pro Fall.
Viel Entwicklerzeit verschwendet
Mit der zunehmenden Nutzung von KI wurde zunehmend Entwicklerzeit verschwendet, da per LLM generierte Bugreports oft schwerer als Unsinn zu entlarven sind als von Menschen verfasste Reports. So waren im Jahr 2025 rund 20 % aller Einreichungen unbrauchbarer KI-Müll. Die Anzahl der per KI erstellten Einreichungen stellte bereits damals das Bug-Bounty-Programm infrage.
Ende des Bug-Bounty-Programms
Jetzt zieht Stenberg die Reißleine und stellt das Programm Ende Januar 2026 ein, wie er in einem aktuellen Pull Request bekanntgibt. Damit soll die Arbeitslast der Entwickler reduziert werden. Ohne Bug-Bounty fehlt hoffentlich der Anreiz für massenhaften KI-Müll. Jedoch könnte damit auch ernsthaften Sicherheitsforschern der finanzielle Anreiz fehlen, Sicherheitslücken in Curl aufzudecken.