Kommentar: KI-Müll treibt curls Bug-Bounty-Programm vor sich her

Maintainer Daniel Stenberg schiebt die Bug-Meldestelle für curl zurück zu HackerOne, von wo er sie erst im Januar abgezogen hatte. Sein unprofessionell wirkender Schlingerkurs spiegelt in Wirklichkeit nur die Unsicherheit wider, die derzeit die Open-Source-Szene bedrückt: Wie soll sie mit dem KI-Müll umgehen, der durch das Vibe-Coding über sie hereinbricht? Eine schnelle Lösung dafür scheint nicht in Sicht.

Ein Kommentar von Wolf Hosbach

Wolf Hosbach ist Redakteur bei der iX. Sein Themengebiet ist die Softwareentwicklung.

Jedes Open-Source-Projekt freut sich über Meldungen von Bugs, gerade im Sicherheitsbereich. Als Meldestelle dient gerne HackerOne, wo die Projektverantwortlichen oft Belohnungen ausloben, um den Anreiz zur Fehlersuche zu erhöhen. Das führt jedoch im Zeitalter von Vibe-Coding zu massenhaft eingereichten, meist wertlosen Beiträgen, die den Maintainern letztlich nur die Zeit rauben, statt ihre Projekte voranzubringen oder abzusichern. Für Stenberg war das im Januar ausschlaggebend dafür, das Bug-Bounty-Programm der Belohnungen zu stoppen und mit dem curl-Reporting zu GitHub zu wechseln.

Entschuldigung für das Hin und Her

Den Rückzug vom Rückzug begründet Stenberg jetzt mit mangelnden Funktionen für das Management von Bug-Meldungen: GitHub sendet Berichte beispielsweise unverschlüsselt per Mail, obwohl die Daten manchmal Secrets enthalten. Außerdem ist es dem Sicherheitsteam nicht möglich, wertlose Meldungen einfach zu löschen. Viele Maintainer kritisieren genau das: Sie können wertlose, zunehmend massenhaft auftretende KI-Pull-Requests nicht schnell löschen. Allerdings ist GitHub inzwischen auf das Problem des KI-Slops eingegangen – obwohl der Besitzer Microsoft mit dem Copilot einer der hauptsächlichen KI-Treiber ist. Das Löschen der lästigen Pull-Requests soll bald möglich sein.

Stenberg gesteht selbst ein: „Dieses Hin und Her ist bedauerlich, aber wir tun es mit den besten Vorsätzen.“ Man kann ihm sicher nicht vorwerfen, nicht alles zu tun, um die beste Lösung zu suchen – aber vielleicht hat er etwas zu voreilig gehandelt, ohne zuvor die neue Plattform genauer zu prüfen. Aus seinem Ärger über den KI-Slop hat er jedenfalls nie einen Hehl gemacht. Insofern war seine erste Entscheidung sicher emotional – spiegelt aber die Unsicherheit wider, die in der Open-Source-Szene gerade herrscht: Wie soll man der vielen, belastenden KI-Beiträge Herr werden, ohne die wirklich wertvollen Eingaben zu verlieren?

Einen Königsweg hierfür scheint es derzeit nicht zu geben. Gerade das zeigt curls Hin und Her sehr deutlich. Das Bug-Bounty-Programm wird es für curl auf HackerOne künftig nicht mehr geben. „Geld für Belohnungen ist noch weg, es gibt kein Bug-Bounty, kein Geld für Schwachstellenberichte“. Der „inflow tsunami“ jedenfalls ist laut Stenberg derzeit ausgetrocknet, aber er befürchtet seine Wiederkehr: „Indem wir zu HackerOne zurückkehren, öffnen wir ihnen vielleicht wieder die Türen? Wir müssen einfach abwarten, was passiert.“

(who)