Die Betreuer von Open-Source-Projekten stehen angesichts der überwältigenden Zahl von KI-generierten Fehlerberichten vor einer großen Herausforderung. In letzter Zeit mehren sich Berichte, dass Entwickler von Open-Source-Projekten mit von KI erstellten Merge-Requests und Bugreports über Sicherheitslücken überlastet werden. Diese seien in vielen Fällen fehlerhaft und unbrauchbar und verschlingen wertvolle Entwicklerzeit, ohne etwas Sinnvolles zum Projekt beizutragen.
Bug-Bounty-Programm in Gefahr
Ein Beispiel ist ein Blogeintrag von Daniel Stenberg, dem Gründer und Hauptentwickler des weitverbreiteten Netzwerktools cURL vom Januar. Stenberg betreibt seit Jahren ein Bug-Bounty-Programm, das Geld für aufgefundene Sicherheitslücken auslobt. Jede gemeldete Sicherheitslücke muss von mehreren Entwicklern begutachtet werden. Bevor KI überall verfügbar war, erhielt Stenberg des Öfteren Bugreports ohne stichhaltige Analyse, die aber relativ schnell auszusortieren waren. Laut Stenberg keine besondere Belastung.
Mit der zunehmenden Nutzung von KI wird vermehrt Entwicklerzeit verschwendet, da per LLM generierte Bugreports oft schwerer als Unsinn zu entlarven sind als von Menschen verfasste Reports. Stenberg stellt klar, dass er nichts dagegen hat, wenn sich die Einreicher der Reports von einer KI helfen lassen, in korrektem Englisch zu formulieren, denn das hilft oft dem Verständnis.
Halluzinierte Berichte über Sicherheitslücken
Er führt im Blog einige Beispiele von KI-generierten Halluzinationen an, die angebliche Buffer Overflows und andere Lücken beschreiben und teilweise bereits öffentlich die Runde machten, ohne wirkliche Substanz zu besitzen. Vor einigen Tagen meldete sich Stenberg erneut in seinem Blog zu Wort. Mittlerweile sind im Jahr 2025 rund 20 % aller Einreichungen unbrauchbarer KI-Müll. Anfang Juli hatten sich etwa 5 % der im Jahr 2025 eingereichten Meldungen als echte Sicherheitslücken herausgestellt.
Die Situation stellt das Bug-Bounty-Programm nun infrage. Der Rest des Jahres 2025 soll genutzt werden, um auszuwerten und nachzudenken, wie man mit der neuen Situation umgehen soll. Das Bug-Bounty-Programm hat seinen Wert mit 81 aufgefundenen Sicherheitslücken seit 2019 unter Beweis gestellt und soll deshalb nicht leichtfertig aufgegeben werden.
Bis zu drei Stunden pro Report
Allein in den vergangenen 18 Monaten erreichten das cURL-Team 21 KI-generierte Sicherheitslücken ohne Substanz. Laut Stenberg involviert jeder eingereichte Report drei Personen und bindet diese für mindestens 30 bis 60 Minuten pro Person. Eine Lösung für das Problem hat Stenberg bislang nicht.
Ich bin sehr gespannt darauf, wie Daniel Stenberg und andere Open-Source-Entwickler damit umgehen und ob sich Best Practices herausbilden werden.
Ich sehe es nur in meinem Bereich: Texte werden immer schlechter, aber weder Leser noch Verlage interessiert das wirklich. Da werden schon mal KI-Prompts in veröffentlichten Romanen vergessen.
Vielleicht werde ich auch nur alt und alles ist super?
Ich denke, nichts ist gut. KI bringt hilfreiche Entwicklungen in vielen Bereichen, aber derzeit überwiegt leider der Müll.
Alles eine Frage der Zeit, die Reports werden besser, bzw. sie werden irgendwann einfach nicht mehr gebraucht, weil die KI, die die Schwachstelle gefunden hat, diesen auch gleich selbst repariert. Es werden also dann eher Begutachtungen von merge requests angefordert. Aber auch das wird wahrscheinlich nur ein kurzes Stück Weg auf der Strecke zur kompletten Betreuung von Software durch KI sein. Eine ganze Zunft strickt am Pullover der eigene Bedeutungslosigkeit. Wenn überhaupt, wird es nur noch ganz wenige Superspezialisten brauchen, welche die KI kontrollieren, Minderspezialisten wie Softwarearchitekten oder noch minder einfache Programmierer braucht’s dann einfach nicht mehr.
@Gruenkohl
Auch dir danke für deine Einschätzung. Der Gedanke mit dem Stricken an der eigenen Bedeutungslosigkeit leuchtet ein. Wie geht’s dann insbesondere mit FLOSS weiter?
@MichaelK
Ein mögliches Szenario könnte sein, dass Entwickler die aus Freude an handgemachter Software agieren, möglicherweise mehr in FOSS-Projekte zuwandern werden. Was sicherlich ein positiver Effekt wäre.
Meine Überlegung dabei ist, dass dieses Kostensparen (Entwickler einsparen) durch KI, eher die rein ökonomisch strukturierten Unternehmen betrifft. Also die Schaffenskraft der oben genannten Entwickler freigesetzt wird.
Zumindest solange, wie es die Erlernung von Kompetenzen bzw. der Bildung von Intelligenz in diesem Bereich noch gibt. 🙂
Freigesetzte Schaffenskraft und Freude an handgemachter Software klingt schon mal gut.
Also muss man langfristig Menschen fürs Programmieren und Entwickeln begeistern und entsprechend bilden? Beim Stricken hat es genauso funktioniert. Strickbetriebe mit Strickmaschinen haben wegen des ökonomischen Drucks aufgegeben, der Strickerberuf nennt sich heute Textilgestalter, was aber immer wieder floriert, ist das Stricken von Hand als Hobby.
FLOSS hat sich aber auch deshalb so weit verbreitet, weil oft auch große Konzerne Entwickler bezahlten und weil es weit mehr als nur Hobby wurde. Wie geht es da weiter?
Danke, Du hast es genau so verstanden wie ich es meinte.
> Also muss man langfristig Menschen fürs Programmieren und Entwickeln begeistern und entsprechend bilden?
Das wäre zu begrüßen. Nicht (mehr) benötigte Kompetenzen gehen über die Zeit verloren, wenn nicht professionell organisierte Ausbildung (Schule, Universität, Betriebe) dafür aufgewendet wird. Die Lehre für die Superspezialisten wird natürlich im Gewand von teuren Privatuniversitäten gerne bereitgestellt und ausgebaut.
> FLOSS hat sich aber auch deshalb so weit verbreitet, weil oft auch große Konzerne Entwickler bezahlten und weil es weit mehr als nur Hobby wurde. Wie geht es da weiter?
Unter Annahme, dass viele Entwickler ihre Anstellung verlieren werden, könnte es sein, dass die Menge an neuen Entwicklern, die nun fehlende bezahlte Zeit einzelner, ehemals von Unternehmen bezahlter, Entwickler ausgleicht.
Ich weiß es nicht, was denkst Du?
> FLOSS hat sich aber auch deshalb so weit verbreitet, weil oft auch große Konzerne Entwickler bezahlten und weil es weit mehr als nur Hobby wurde. Wie geht es da weiter?
Hier könnte es ein Interessenkonflikt entstehen: “Wir lieben Handarbeit” vs. “Wir wollen mehr KI (wir haben/wollen keine Entwickler mehr)”
Das Unternehmen, dass alle Aspekt kontrollieren möchte und auf KI als Entwickler setzt, könnte mit dem Stil der Handarbeit beim verwendeten FOSS-Projekt unzufrieden werden, und nun, da die KI das bisher geschätzte FOSS-Projekt praktisch selbständig betreuen kann, auf die Verwendung der handgemachten Version verzichten. Was dann auch die bezahlten Entwickler, die bisher zu dem FOSS-Projekt beigetragen haben, entfallen lässt.
/*>Unter Annahme, dass viele Entwickler ihre Anstellung verlieren werden, könnte es sein, dass die Menge an neuen Entwicklern, die nun fehlende bezahlte Zeit einzelner, ehemals von Unternehmen bezahlter, Entwickler ausgleicht.
Ich weiß es nicht, was denkst Du?*/
Softbank hat ja jetzt eine entsprechende Ansage gemacht: Entwickler rausschmeißen und durch KI-Agenten ersetzen. Ein Mitarbeiter entspricht dabei laut Softbank-Chef 1000 Agenten, die je 23 Eurocent im Monat kosten, also 230 Euro. Damit kann kein Mensch auf der Welt konkurrieren. Klar, das ist aggressives Marketing, aber die Marschrichtung ist vorgegeben.
Auf der anderen Seite hört man überall, es gebe zu wenige Entwickler. So gesehen freuen sich viele wahrscheinlich über KI-Agenten, weil sie ihnen repetitive Aufgaben abnehmen und mehr Zeit für schöpferische Tätigkeiten bleibt. Mir ist klar, dass LLMs nur mit Tokens und Wahrscheinlichkeiten arbeiten.
Wovon leben die entlassenen Entwickler? Für mich war der Werdegang immer wie ein Marathonlauf: Klein anfangen, üben, ausdauernd werdem, mit den Aufgaben wachsen. Wenn keine Junior-Entwickler mehr nötig sind, woher kommen dann in Zukunft die Senior-Entwickler?
Und die FLOSS-Community? Hat zusammen mit Stack Overflow spitzenmäßige Trainingsdaten geliefert. Im Endeffekt geht es doch darum, dass die AI-Firmen einfach alles abgeschöpft haben, von Büchern über Foren und Webseiten. Mit jeder Interaktion in den sozialen Netzwerken trainiert man die KIs weiter. Noch brauchen sie den Menschen, jedenfalls solange bis “AI degradation” gelöst ist.
Klar, wir können uns mit Protokollen wie Gemini und Spartan quasi unser eigenes Netz bauen und die KI zumindest zeitweise draußen halten.
Wird nun ein bezahlter FLOSS-Entwickler entlassen, kann ich mir schon vorstellen, dass er seine freie Zeit in freie Projekte stecken möchte, wenn er über entsprechende finanzielle Freiheit verfügt. Die KI-Konzerne brauchen FLOSS noch zum Abschöpfen für Trainingsdaten, d. h. Big Money sollte ein Interesse daran haben, dass es irgendwie mit freier Software weitergeht, um die Kreativität abzuschöpfen.
Gut zusammengefasst, danke.
Woher die Senioren kommen sollen, wenn es keine Junioren mehr gibt und ob die entlassenen Entwickler die finanzielle Freiheit haben werden, sich an FLOSS zu beteiligen sind sehr gute Fragen, über die es nachzudenken lohnt.
Möglicherweise könnte ein entlassener Entwickler, so lange noch Bedarf besteht, zum Rechenzentrumskonstrukteur (ausführende Kraft, nicht die Konstruktion am Bildschirm, die wurde bereits von der KI erledigt) umschulen, das würde ihm wieder Einkommen sichern, damit er die Zeit für sein Hobby finanzieren kann.
Wenn man sich auf Hume, Marx und Kant beruft, ist Arbeit – im Sinne von Schaffenskraft und der (Selbst-) Identifikation mit und durch das Produkt dieser Arbeit – essentieller Teil der menschlichen Natur. Derer Möglichkeit beraubt (noch mehr als durch Fließband und Automatisierung) wird er (der Mensch) durch tiefe Täler der Entfremdung (von sich selbst) wandern müssen.
Das utopische Szenario, ganz optimistisch betrachtet, also noch einige Zeit nachdem die KI die Herrschaft über sämtliche Produktion (und weitere Lebensbereiche) übernommen hat, die sozialen bzw. gesellschaftlichen Unruhen und Umstürze vorüber sind, könnte der Mensch von der Geisel der Arbeit befreit sein und tatsächlich nur noch seinen
“Berufungen” – der Arbeit im oben genannten Sinne – nachgehen können, Ganz ohne ökonomische Komponenten, da diese praktisch nicht mehr relevant sind. Möglicherweise aus dem Grund, da das Konzept “Arbeit gegen Lebensunterhalt” nicht mehr gesamtgesellschaftlich aufgeht.
Das dystopische Szenario spare ich mir heute. Wer weiß schon was wird, vielen Dank für den anregenden Austausch.
Schönen Tag noch.
Danke für deine Einschätzung. Ich teile deine Skepsis. KI ist beeindruckend, aber dem ganzen Müll ist mir besonders bei FLOSS überhaupt nicht wohl.
KI-Müll hat gute Chancen zum Problem zu werden, ähnlich wie wir das vom Plastik her kennen.
Mich würde mal interessieren, wie viele sinnhafte Bugreports dem gegenüberstehen, wo KI etwas gefunden hat, was bisher kein Mensch finden konnte.
Wie sowas hier:
https://beebom.com/openai-o3-ai-found-zero-day-linux-kernel-vulnerability/
Sicher kann man auch KI dazu benutzen, eingereichte Reports auf Substanz zu prüfen.
Ich bin hier sehr gespannt auf deren Lösungsweg.
Das Problem haben sehr viele und mögliche Wege wurden in Foren bereits hinreichend diskutiert.
Daher warte ich einfach nur noch gespannt auf deren Entscheidung! ☺️