Bis zum Burn-out: Open-Source-Entwickler von KI-Bug-Reports genervt
Sie kommen freundlich und wohl durchdacht daher: Doch bei genauerer Prüfung stellen Open-Source-Maintainer fest, dass immer mehr Bugreports KI-Unsinn sind.
(Bild: Andrii Yalanskyi/Shutterstock.com)
Auf den ersten Blick ist es nur ein Bug-Report eines freundlichen Nutzers: “Curl ist eine Software, die ich liebe und die ein wichtiges Werkzeug für die Welt ist. Wenn mein Bericht nicht zutreffend ist, entschuldige ich mich dafür”, schreibt der Einsender und liefert nachfolgend eine gut strukturierte Analyse einer vermeintlichen Sicherheitslücke mitsamt Code. Daniel Stenberg, Maintainer von Curl und Libcurl, dankt ihm daraufhin dafür und hat eine Nachfrage zu der Einsendung. Doch dann wird es skurril: In seiner Antwort fängt der demütige Absender an, sich in Ungereimtheiten zu verstricken. Relativ schnell wird klar: Hier ist eine KI am Werk, die auf typische Weise reagiert, wenn sie auf Fehler in ihren Aussagen hingewiesen wird.
Fälle wie diesen beobachten Maintainer von namhaften Open-Source-Projekten immer häufiger. Einige sprechen gar schon von einer Flut minderwertiger Eingaben, so etwa Stenberg in einem Artikel von The Register. Dennoch sind die KI-Berichte im Vergleich zu klassischem Spam nicht immer auf den ersten Blick als solche zu erkennen und bedürfen einer Prüfung. Das kostet Zeit und führt dazu, dass die oft ehrenamtlich betreuten Projekte ausgebremst werden, kritisieren einige der Maintainer in Blogposts.
Droht Maintainern der Burn-out?
Seth M. Larson von der Python Software Foundation fürchtet gar, dass diejenigen, die sich um die Eingaben zu Bugs kümmern, auf Dauer ausbrennen, wenn sie immer mehr mit KI-Spam zu tun haben. Er plädiert in einem Blogbeitrag dafür, sie so zu behandeln, als wären sie in bösartiger Absicht eingereicht worden, auch wenn die KI in Wirklichkeit aus Gründen der Arbeitsersparnis eingesetzt wurde.
Videos by heise
Larson rät den Projekten dazu, sich abzusichern: Eingangsschranken wie CAPTCHA-Rätsel könnten die automatisierte Software aufhalten. Auch Beschränkungen für die Anzahl von Reports seien eine denkbare Hilfe. Er rät auch dazu, die Namen der Absender von KI-Berichten öffentlich zu machen, damit diejenigen, die dahinterstecken, ihr Vorgehen aus Scham überdenken.
Bugreporter sollten Finger von KI lassen
Bugreporter sollten laut Larson möglichst keine KI-Systeme nutzen, um Eingaben zu tätigen. Auch sollten sie keine Experimente mit Freiwilligen von Open-Source-Projekten vornehmen. Grundsätzlich rät er dazu, dass kein Bericht eingereicht werden sollte, der nicht vorher von einem Menschen geprüft wurde. "Diese Überprüfungszeit sollte zuerst von Ihnen investiert werden, nicht von Open-Source-Freiwilligen."
Curl-Maintainer Stenberg beobachtet den Trend zu KI-generierten Vulnerability Reports seit etwa einem Jahr. Besonders ärgerlich findet er es, wenn nicht einmal auf Nachfragen ein Mensch reagiert, sondern auch dort die KI vorgeschickt wird, um mit dem Maintainer zu sprechen – mit dem eingangs erwähnten Ergebnis, dass solche Dialoge schnell im Nonsens enden.
(mki)
