Zum Hauptinhalt Zur Navigation

Suche Shortcut: Strg + K

Abo testen Anmelden
Deals
Rack & Stack (öffnet im neuen Fenster) Forum (öffnet im neuen Fenster)
SoftwareSecurityHardwareWissen

Bug-Bounty-Programm: Curl-Entwickler dreht dem "KI-Schrott" den Geldhahn zu

Massen an KI -generierten Bug-Reports belasten Open-Source -Entwickler. Das Curl-Projekt streicht die Prämien – und nimmt damit die Anreize.
/ Marc Stöckel
9 Kommentare News folgen (öffnet im neuen Fenster)
Für KI-generierte Schrott-Bug-Reports gibt es keine Belohnung. (Bild: pixabay.com / stevepb)
Für KI-generierte Schrott-Bug-Reports gibt es keine Belohnung. Bild: pixabay.com / stevepb

Curl-Entwickler Daniel Stenberg hat sich in der Vergangenheit schon mehrfach über "KI-Schrott" in eingereichten Bug-Reports beschwert . Jetzt hat er den Entschluss gefasst, das über Hackerone abgewickelte Bug-Bounty-Programm seines Projektes einzustellen. Das soll KI-Nutzern die Anreize nehmen, die Curl-Entwicklung mit Unmengen ungeprüfter Fehlerberichte zu belasten, um mögliche Prämien zu kassieren.

Einen ersten Hinweis auf die Einstellung des Bug-Bounty-Programms gab Stenberg auf Mastodon(öffnet im neuen Fenster) . Dort verlinkte er am Mittwoch auf einen Pull Request(öffnet im neuen Fenster) mit dem Titel "Wir beenden das Bug-Bounty-Programm Ende Januar 2026" . Einige Vorbereitungen wurden schon getroffen, wie etwa die Entfernung der Verweise auf Hackerone(öffnet im neuen Fenster) aus dem Github-Projekt.

Neue Angebote bei Golem Jobs(öffnet im neuen Fenster)
Security Application Engineer (w/m/div) Deutsches Patent- und Markenamt, München (öffnet im neuen Fenster)
Fachadministrator*in Zahlungsverkehr und Finanzsysteme IT-Dienstleistungszentrum (ITDZ Berlin), Berlin (öffnet im neuen Fenster)
Fachbereichsleiter Meterdatamanagement (m/w/d) Städtische Werke Netz + Service GmbH, Kassel (öffnet im neuen Fenster)
Softwareentwickler User Interfaces (m/w/d) - Embedded & App TARA Systems GmbH, München (öffnet im neuen Fenster)
Junior Consultant eCommerce Payments (m/w/d) Schwarz Corporate Solutions, Neckarsulm (öffnet im neuen Fenster)
IT Administrator m/w/d RUD Ketten Rieger & Dietz GmbH u. Co. KG, Aalen (öffnet im neuen Fenster)
KI - Spezialist (m/w/d) Paul Becker GmbH, Denzlingen (öffnet im neuen Fenster)
(Senior) IT-Systemadministrator (w/m/i) Stadt Bühl, Bühl (öffnet im neuen Fenster)

Weitere Informationen will Stenberg in den kommenden Wochen teilen. Heise Online(öffnet im neuen Fenster) erklärte er, man arbeite noch an den Begrifflichkeiten und am Zeitplan. "Aber ja, es wird passieren" , so Stenberg. Ziel sei es, den "KI-Müll-Tsunami" aus eingereichten Bug-Reports auszubremsen und die Arbeitslast der Entwickler dadurch zu reduzieren.

Hohe Belastung für Entwickler

Dass die Einstellung des Bug-Bounty-Programms für den Curl-Entwickler eine denkbare Option ist, hatte er schon im Juli 2025 angedeutet . Stenberg warnte vor der erheblichen Belastung , die massenhaft eingereichte KI-Bug-Reports nach sich ziehen. Sein Team verbringe jede Woche unzählige Stunden damit, "sich mit diesen hirnverbrannten Dummheiten auseinanderzusetzen" .

Schon damals rief Stenberg dazu auf, mögliche Lösungen zu erarbeiten. Vor allem Hackerone müsse "uns mehr Werkzeuge und Stellschrauben anbieten, um uns vor dem Absturz zu bewahren" , warnte er. Für das Melden von Sicherheitslücken eine Gebühr zu erheben, lehnte er hingegen ab. Geld zu verwalten sei mühsam und für ein offenes Projekt wie Curl eine ungünstige Option, so Stenberg.

Eine brauchbare Alternative zur Einstellung des Bug-Bounty-Programms scheint der Curl-Entwickler in den letzten Monaten allerdings nicht gefunden zu haben. Somit wird das Programm nun beendet, womit für Sicherheitsforscher auch die Anreize entfallen, echte Lücken an das Projekt zu melden. Das sei ein Nachteil, der möglicherweise hingenommen werden müsse, erklärte Stenberg diesbezüglich im letzten Jahr.

Zur Startseite 9 Kommentare

Relevante Themen

Deep Dive KI-HypeKIOpen SourceSoftwareSoftwareentwicklungSecuritySicherheitslückeUpdates & Patches