cURL schafft Bug-Bounty-Programm ab

• Die Open-Source-Bibliothek cURL beendet ihr Bug-Bounty-Programm, um den starken Anstieg bedeutungsloser, von KI erzeugter Bug-Reports einzudämmen
• Maintainer Daniel Stenberg erklärte, dass die meisten von KI erstellten Meldungen „reine Fiktion“ seien und ihre Überprüfung viel Zeit koste
• cURL stellt Ende Januar die Auszahlung von Prämien ein; bislang wurden für insgesamt 87 Reports 101.020 US-Dollar ausgezahlt
• Der Sicherheitsforscher Joshua Rogers hat zwar mithilfe von KI-Tools tatsächlich valide Reports eingereicht, bezeichnete die Entscheidung aber als „sehr kluge Maßnahme“
• Er sagte, der eigentliche Antrieb sei nicht Geld, sondern Ansehen und technische Leistung, und auch andere Projekte müssten ähnliche Schritte erwägen

cURLs Entscheidung zur Einstellung des Bug-Bounty-Programms

• Die Open-Source-Codebibliothek cURL stellt die finanzielle Vergütung für Bug-Reports ein
  • Ziel ist es, den starken Anstieg von KI-generierten Falschmeldungen (AI slop) einzudämmen
  • Maintainer Daniel Stenberg sagte, „AI slop und ungenaue Reports nehmen weiter zu; wenn wir diese Flut nicht stoppen, gehen wir darin unter“
• cURL beendet die Auszahlung von Bounties Ende Januar
  • Er erklärte: „Wir verschwenden zu viel Zeit mit angeblichen Funden, die in Wirklichkeit nicht existieren, übertrieben sind oder missverstanden wurden.“

Probleme und Auswirkungen KI-generierter Reports

• Bei cURL ist die Arbeitsbelastung zuletzt durch automatisch von KI erzeugte Bug-Reports stark gestiegen
  • Die meisten KI-generierten Reports erwiesen sich als sinnlos oder fehlerhaft
  • Der Prozess, solche Meldungen auszusortieren, ist zeitaufwendig und belastet die Maintainer erheblich
• Stenberg hatte das Problem bereits 2025 in dem Beitrag „Death by a thousand slops“ öffentlich thematisiert

Positive Beispiele für KI-gestützte Reports

• Nicht alle von KI erzeugten Reports sind wertlos
  • Stenberg erwähnte, dass mehr als 100 KI-gestützte Reports tatsächlich zu Code-Fixes geführt hätten
• Bislang hat cURL für insgesamt 87 Bug-Reports 101.020 US-Dollar an Bounties ausgezahlt
  • Ohne das Bounty-Programm wären einige dieser Reports möglicherweise nie entdeckt worden (keine weitere Analyse)

Die Position des Sicherheitsforschers Joshua Rogers

• Joshua Rogers hat mithilfe von KI-Tools zahlreiche valide Bug-Reports für Open-Source-Projekte eingereicht
  • Er prüfte die Analyseergebnisse der KI, ergänzte sie selbst und reichte sie dann ein
• Rogers bezeichnete cURLs Entscheidung als „hervorragende Maßnahme, die schon viel früher hätte umgesetzt werden sollen“
  • Er sagte auch: „Es ist eher seltsam, dass dieses System überhaupt so lange weiterlief.“
• Er erklärte: „Wenn die Bug Bounties verschwinden, wird ein Teil der Motivation wegfallen, aber wichtige Reports werden trotzdem weiterhin eingereicht.“

Ungleichgewicht zwischen Belohnung und Motivation

• Rogers betonte, dass „Ruhm (fame)“ der eigentliche Antrieb sei und finanzielle Belohnungen nur zweitrangig seien
  • Die höchste Bounty bei cURL liegt bei 10.000 US-Dollar, was für Expert:innen, die schwere Schwachstellen finden können, kein besonders hoher Betrag ist
• Er wies jedoch auch auf ein wirtschaftliches Ungleichgewicht hin
  • Dieselbe Belohnung könne für Forschende in einkommensschwachen Regionen sehr viel bedeuten
  • „Eine Prämie, die in Schweden kaum mehr als ein Mittagessen wert ist, kann in manchen Regionen eine enorme Summe sein“, erklärte er

Gemeinsame Herausforderung im Open-Source-Ökosystem

• Dem Artikel zufolge kämpfen auch andere Open-Source-Projekte mit einer Flut KI-generierter Reports
• cURLs Entscheidung könnte eine neue Debatte über Qualitätssicherung und Community-Management im KI-Zeitalter anstoßen (keine weitere Erläuterung)