Curl-Entwickler über KI: Open-Source-Projekte versinken im "High-Quality-Chaos"
Zu Beginn des Jahres hat der Curl-Entwickler Daniel Stenberg das Bug-Bounty-Programm für sein Projekt eingestellt, um der damals noch überwiegend minderwertigen KI-generierten Bug-Reports Herr zu werden. In einem neuen Blogbeitrag(öffnet im neuen Fenster) schildert der Entwickler nun, wie sich die Situation seitdem verändert hat. Die Kurzfassung: die Anzahl der Einreichungen wächst rapide weiter, doch die Qualität bessert sich ebenfalls.
Stenberg spricht in seinem Beitrag von einer neuen Ära des "High-Quality-Chaos". Der KI-Schrott, über den er sich in der Vergangenheit wiederholt aufgeregt hatte, sei nun "kein Problem mehr". Die Frequenz der Einreichungen habe sich aber im Vergleich zum Vorjahr erneut verdoppelt.
In den Jahren 2020 bis 2024 lagen durchschnittlich über 100 Stunden zwischen zwei gemeldeten Bugs. 2025 fiel diese Zeitspanne auf unter 50 Stunden. 2026 sind es bisher nicht einmal mehr 25 Stunden. Während also vor 2025 nur etwa alle vier bis fünf Tage ein Bug-Report bei dem Curl-Entwickler eintraf, gehören neue Einreichungen mittlerweile zum Alltag.
Fast nur noch mit KI erstellte Reports
Laut Stenberg werden die Bug-Reports auch weiterhin überwiegend mithilfe von KI-Tools erstellt. "Fast jeder Sicherheitsbericht nutzt mittlerweile in unterschiedlichem Maße KI. Das lässt sich an der Wortwahl erkennen, an der Formulierung des Berichts und auch daran, dass sie mittlerweile mühelos sehr detaillierte Duplikate erstellen, wie es von Menschenhand unmöglich wäre", erklärt der Entwickler.
Dennoch seien diese Berichte heute meist "von sehr hoher Qualität". Das zeige sich auch an den Zahlen. Die Rate der Einreichungen, die bei Curl als echte Sicherheitsprobleme anerkannt wurden, war 2025 zunächst deutlich von zuvor 13 auf nur noch etwa fünf Prozent gefallen, liegt mit knapp 16 Prozent inzwischen aber sogar wieder über dem Niveau von 2024.
Für Entwickler eine schwierige Phase
Stenberg erwartet aufgrund seiner Beobachtungen in Bezug auf Curl für das Jahr 2026 nicht weniger als eine "regelrechte Explosion und eine Rekordzahl an CVEs". Der Entwickler listet in seinem Blogbeitrag zahlreiche weitere Open-Source-Projekte auf, mit deren Maintainern er im Austausch ist und die wohl ähnliche Beobachtungen gemacht haben.
Für die Entwickler ist das allerdings eine nicht zu unterschätzende Herausforderung, wie unter anderem der Mozilla-CTO Bobby Holley kürzlich durchblicken ließ. "Diese Lawine wird die Überlastung der Maintainer noch verschlimmern. Einige Projekte werden es schwer haben, diese Art von Rückstau zu bewältigen, ohne dass zusätzliche Maintainer zu Hilfe kommen", warnt Stenberg diesbezüglich.
Langfristig kann das zwar die Softwarequalität verbessern und die Angriffsfläche verkleinern. Bis es so weit ist, haben allerdings auch böswillige Akteure leichtes Spiel. "Die können diese vielen Probleme ganz einfach selbst finden, indem sie dieselben Tools nutzen, bevor alle Projekte Zeit, Personal und Energie aufbringen, um sie zu beheben", erklärt der Curl-Entwickler weiter. "Uns steht eine holprige Fahrt bevor", so seine abschließenden Worte.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.