Nächste KI-Kapitulation: Nextcloud zahlt für gemeldete Lücken keine Prämien mehr
Nachdem bereits mehrere Open-Source-Projekte ihre Bug-Bounty-Programme aufgrund einer kaum zu bewältigenden Anzahl eingereichter KI-Bug-Reports eingestellt haben, folgt nun auch Nextcloud diesem Beispiel. Sicherheitsforscher, die in der Vergangenheit schon mal über Hackerone einen Fehler an das Nextcloud-Team gemeldet hatten, wurden kürzlich über diesen Schritt informiert, wie etwa einem X-Beitrag von vx-underground(öffnet im neuen Fenster) zu entnehmen ist.
"Wie viele andere Softwareprojekte erhalten auch wir seit einiger Zeit über Plattformen wie Hackerone eine steigende Anzahl allgemeiner, KI-generierter Sicherheitsmeldungen", heißt es in der Nachricht. Dies erschwere es den Entwicklern, hochwertige Meldungen zu identifizieren. Das Bug-Bounty-Programm werde daher zum 22. April eingestellt.
Heißt konkret: Bugs und Sicherheitslücken können zwar weiterhin wie gewohnt über Hackerone an Nextcloud gemeldet werden, eine finanzielle Entschädigung gibt es dafür aber nicht mehr. Den gleichen Schritt hatte kürzlich auch Internet Bug Bounty vollzogen, mit Auswirkungen auf zahlreiche Open-Source- und Infrastrukturprojekte wie beispielsweise Node.js.
Zu viele Reports, zu viel Arbeit
Vor dem 22. April eingereichte Schwachstellenberichte sollen noch gemäß den alten Richtlinien entlohnt werden. Für neue Berichte gibt es laut Nextcloud jedoch keine Auszahlungen mehr. Ziel dieser Maßnahme sei es, "die Anzahl der mit geringem Aufwand erstellten, KI-generierten Meldungen zu reduzieren und uns auf das Wesentliche zu konzentrieren". Die Nextcloud-Entwickler scheinen also überfordert zu sein, ebenso wie ihre Kollegen aus anderen bekannten Projekten.
Auch auf Hackerone(öffnet im neuen Fenster) weist Nextcloud darauf hin, dass keine Bug-Bounty-Prämien mehr ausgezahlt werden. Ebenso wie bei Internet Bug Bounty ist dort lediglich von einer "temporären" Maßnahme die Rede. "Wir hoffen, das Programm wieder aufnehmen zu können, sobald ein zuverlässiger Ansatz gefunden wurde, um die oberflächlich erstellten Berichte herauszufiltern", heißt es.
Ohne Bezahlung mehr Qualität?
Interessant ist, dass Nextclouds Angaben bezüglich der eingereichten Bug-Reports auf eine minderwertige Qualität hindeuten. Der Curl-Entwickler Daniel Stenberg stellte nach Einstellung seines eigenen Bug-Bounty-Programms jedoch zuletzt Gegenteiliges fest: Seitdem steige die Anzahl der Einreichungen bei ihm immer noch rapide an, doch auch die Qualität habe sich deutlich verbessert.
Offenkundig locken Bug-Bounty-Prämien also mehr Leute an, die ihre KI-generierten Meldungen selbst nicht richtig prüfen (können) und nur auf leicht verdientes Geld aus sind. Sobald die finanziellen Anreize gestrichen werden, scheinen hingegen mehr Bug-Reports von Personen eingereicht zu werden, die die nötige Kompetenz haben und sich die Mühe machen, die Entdeckungen der KI vor der Einreichung zu überprüfen.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.