curl: Projekt beendet Bug-Bounty-Programm

Das curl-Projekt stellt zu Ende Januar das Bug-Bounty-Projekt ein. Damit können IT-Forscher keine Prämie mehr für gefundene und gemeldete Sicherheitslücken in dem populären Open-Source-Tool bekommen.

Das hat Daniel Stenberg, seines Zeichens Maintainer von curl und libcurl, nun im sozialen Netzwerk Mastodon bekannt gegeben. Das hat auch Einzug in die curl-Quellcodes auf Github gefunden.

Demnach entfernt Stenberg Hinweise auf das Bug-Bounty-Programm auf HackerOne aus den Projekt-Quellen. Die Links dorthin werden entfernt. Bei Verdacht auf Sicherheitsprobleme sollen sich die Entdecker im Privaten an curl respektive Stenberg wenden. Die curl-Webseite zu dem gewünschten Prozedere zum Melden einer Schwachstelle verweist jetzt noch auf das Bug-Bounty-Programm. Allerdings finden sich bereits jetzt Hinweise, dass sich IT-Forscher an die Mailingliste security(at)curl(dot)se wenden sollen, was jedoch einige Voraussetzungen hat.

Die könnten eher abschreckend wirken: „Wir verlangen im Grunde genommen nur, dass du seit Langem am Curl-Projekt beteiligt bist und Verständnis für das Projekt und seine Arbeitsweise gezeigt hast nicht vorhaben, in naher Zukunft wieder zu verschwinden.“ Das wird sich vermutlich mit dem Ende des offiziellen Bug-Bounty-Programms jedoch ändern.

Gründe noch nicht genannt

Zu den konkreten Gründen für diesen Schritt hat Stenberg sich bislang nicht geäußert. Auf Mastodon reagierte ein User mit dem Kommentar: „Ich glaube nicht, dass das den Slop stoppen wird“, was die Kurzform von „AI Slop“ oder auf Deutsch „KI-Müll“ ist. Stenberg entgegnete dem mit „Nichts kann das stoppen, aber wir können das hoffentlich ausbremsen, indem wir einen starken Anreiz wegnehmen“.

Es liegt nahe, dass Stenberg den Schritt wegen zunehmender „KI-Müll-Meldungen“ geht. Er hatte sich des Öfteren massiv und frustriert über unbrauchbare Bug-Reports beschwert, die sich plausibel lesen und viel Arbeit zum Nachvollziehen verschlingen, sich dann aber als unsinnig herausgestellt haben. Auf LinkedIn schrieb er im Mai vergangenen Jahres deshalb bereits „Ich habe die Nase voll. Ich spreche ein Machtwort wegen dieses Irrsinns“.

Gegenüber heise online sagte Daniel Stenberg, dass es derzeit noch PR sei, technisch handele es sich um einen Vorschlag. „Aber ja, es wird passieren. Wir nehmen noch Feinschliff an den Begrifflichkeiten und am Zeitplan vor, bevor es in Kraft tritt.“ Es steht im Zusammenhang mit dem KI-Müll-Tsunami. „Wir hoffen, wir können den Strom an eingehenden Problemmeldungen verlangsamen und die Arbeitslast reduzieren durch das Entfernen des finanziellen Anreizes.“

curl, kurz für „Client for URLs“ ein mächtiges, quelloffenes Werkzeug und eine Bibliothek zum Übertragen von Daten über diverse Protokolle wie HTTP, FTP und zahlreiche weitere. Die Glücksritter, die ihre KI-Tools teils offenbar auch ohne Sachverstand auf die curl-Quellen losgelassen haben, können ab Monatsende zumindest an curl kein Geld mehr verdienen.

(dmk)