Log4j am Limit: KI-Schrott lähmt Open-Source-Projekt
Open-Source-Projekte litten zunehmend unter KI-generierten und massenhaft eingereichten Bug-Reports. Auch das weitverbreitete Logging-Framework Log4j von der Apache Software Foundation sei davon betroffen, wie der polnische Entwickler Piotr P. Karwasz in einer Diskussion auf Github(öffnet im neuen Fenster) zu verstehen gibt. Er spricht von einer "Denial-of-Service-Situation" , die die Weiterentwicklung des Projekts lähmt.
"Vielleicht ist Ihnen aufgefallen, dass die Aktivitäten in den öffentlichen Repositorys Log4cxx, Log4j und Log4net seit Dezember 2025 nachgelassen haben" , schreibt Karwasz. Grund dafür sei, dass die Entwickler derzeit viel mit der Bearbeitung von Security-Reports beschäftigt seien, was unsichtbar im Hintergrund geschehe.
Über das Bug-Bounty-Programm(öffnet im neuen Fenster) des Projekts werden den Angaben zufolge immer mehr KI-generierte Schwachstellenmeldungen eingereicht. Zwischen Juli 2024 und November 2025 sollen insgesamt nur 32 Meldungen eingegangen sein. Danach kam ein rasanter Anstieg auf zuletzt 20 Meldungen allein im Januar 2026.
Viele Schwachstellen, die keine sind
Ein Problem sei dabei abermals die Qualität der eingereichten Berichte. "In der Praxis stellt vielleicht eine von zwanzig Meldungen ein geringfügiges, berechtigtes Problem dar" , erklärt Karwasz. Dennoch würden alle Meldungen laut Entwickler ernst genommen und entsprechend bearbeitet und beantwortet, verursachten dadurch aber auch sehr viel Arbeit.
"Da Sicherheitsmeldungen mit höchster Priorität behandelt werden, beansprucht diese Situation derzeit einen unverhältnismäßig großen Teil unserer verfügbaren ehrenamtlichen Arbeitskraft" , so Karwasz weiter. Doch das wolle der Entwickler nun durch temporäre Maßnahmen ändern, bis es eine bessere Lösung gebe.
Entwickler schlägt Maßnahmen vor
Karwasz schlägt vor, Schwachstellenmeldungen bei Log4j in Zukunft kurzfristig Prioritäten zuzuordnen und vorerst nur noch die wichtigen Fälle zu bearbeiten. Weniger wichtige Meldungen würden dann zwar weiterhin bearbeitet, dies könne aber unter Umständen Wochen oder gar Monate dauern, erklärt der Entwickler.
Zudem empfehle er anderen Entwicklern, sich ein Zeitlimit für die Bearbeitung eingereichter Berichte zu setzen, damit wieder mehr Zeit für andere Tätigkeiten frei werde. Er selbst habe nicht vor, künftig mehr als 20 Prozent seiner Zeit mit den Security-Reports zu verbringen.
Auch der Curl-Entwickler Daniel Stenberg wetterte in den vergangenen Jahren wiederholt gegen KI-generierte Bug-Reports . Im Januar entschied er sich schließlich, das Bug-Bounty-Programm von Curl einzustellen , um dem "KI-Müll-Tsunami" die finanziellen Anreize zu nehmen. Sowohl Stenberg als auch Karwasz wünschen sich elegantere Lösungen gegen massenhafte und oft minderwertige KI-Reports, bisher scheint es aber noch nichts zu geben, was die Entwickler zufriedenstellt.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.