Open Source: Curl-Entwickler pöbelt gegen "KI-Scheiße"

Obwohl die Download- und Transferbibliothek Curl eines der am weitesten verbreiteten Open-Source-Projekte überhaupt ist, bekommt der Hauptentwickler Daniel Stenberg kaum nennenswerte Unterstützung großer Unternehmen und muss viele der Arbeiten rund um die Entwicklung selbst stemmen. Für das chronisch schlecht ausgestattete Projekt und für Stenberg selbst werden die Fähigkeiten aktueller großer KI-Sprachmodelle (LLM) dabei offenbar zu einem ressourcenfressenden Problem, das so groß ist, dass Stenberg seinem Ärger nun mit deutlichen Worten in seinem Blog Luft machen muss.

Der Entwickler schreibt: "Ich habe mich bisher zurückgehalten, etwas über KI zu schreiben oder darüber, wie wir KI (nicht) für die Entwicklung in Curl nutzen. Jetzt kann ich mich nicht mehr zurückhalten." Er führt dazu aus, dass es wohl immer wieder vorkomme, dass "Glücksritter" versuchten, Fehler oder Sicherheitslücken an das Projekt zu melden, auch um eventuell Geld einer Bug-Bounty zu bekommen. Doch "wenn Berichte besser aussehen und den Anschein erwecken, dass sie einen Sinn ergeben, dauert es länger, sie zu recherchieren und schließlich zu verwerfen", gibt Stenberg zu bedenken.

KI zu entdecken wird schwieriger

Gleich mehrfach bezeichnet Stenberg derartige Meldungen und den Inhalt dieser als "Scheiße". Die dafür aufgewendete Zeit verhindere es, die Sicherheit zu verbessern, Fehler zu beheben oder neue Funktionen zu erstellen. Das Aufkommen von LLMs habe aber dazu geführt, dass diese KI-Modelle nach Sicherheitslücken in Curl gefragt werden und deren wohlformulierte Antworten dann eben im Bug-Tracker des Projektes landen.

In seinem Blog-Eintrag zeigt Stenberg dann am Beispiel von zwei gemeldeten vermeintlichen Sicherheitslücken, ob und wie dieser "KI-Scheiß" erkannt werden kann. In dem ersten Fall sei dies noch recht einfach gewesen, da die Person, die den Eintrag verfasst hat, die Nutzung eines KI-Werkzeuges zugegeben habe. In einem zweiten Fall passiere das zwar nicht, aber Stenberg gibt an, dass es viele Zeichen gebe, die darauf hinweisen. Erst nach mehrmaligem Hin und Her und nach fast einem ganzen Tag habe der Entwickler erkannt, dass es sich um KI-Halluzinationen handele und den Bug-Report geschlossen

Stenberg vermutet jedoch, dass diese Art von vermeintlichen Fehlerberichten, die mit KI erstellt werden, künftig mehr werden könnten. Das liege nicht zuletzt auch an Menschen, die auf schnelles Geld aus seien und "die Benutzerfreundlichkeit und der breite Zugang zu leistungsstarken LLMs ist einfach zu verlockend." Wie auch bei E-Mail-Spammern lägen die Kosten zum Entdecken dieser aber auf der Empfangsseite, so Stenberg.