Open Source: "Schlampige" KI-Bug-Reports nerven Entwickler
Der Curl-Entwickler Daniel Stenberg wetterte schon im Januar dieses Jahres gegen "KI-Scheiße" in eingereichten Fehlerberichten. Nun hat auch Seth Larson, Security Developer bei der Python Software Foundation, einen Blogbeitrag veröffentlicht(öffnet im neuen Fenster) , in dem er vor einem Anstieg von "schlampigen" und "LLM-halluzinierten" Sicherheitsberichten warnt, die er in mehreren Open-Source-Projekten beobachtet habe.
"Das Problem ist, dass diese Berichte im Zeitalter der LLMs auf den ersten Blick als potenziell legitim erscheinen und daher Zeit benötigen, um sie zu widerlegen" , erklärt Larson und beschreibt seine Beobachtung als einen "sehr besorgniserregenden Trend" , der potenziell Tausende von Open-Source-Projekten betreffe.
Für die Maintainer der jeweiligen Softwareprojekte sei die Bearbeitung dieser Bug-Reports reine Zeitverschwendung. Zudem sorgten die KI-generierten Berichte bei den Entwicklern für Verwirrung, Stress und Frustration und lösten eine Abneigung gegen die Bearbeitung sicherheitsrelevanter Aufgaben aus. Für die überforderten Entwickler könne dies letztendlich zu einem Burn-out beitragen.
Auch bei Curl keine Besserung in Sicht
Wie The Register berichtet(öffnet im neuen Fenster) , hat auch Stenberg nach wie vor mit solchen Problemen zu kämpfen. Erst vor wenigen Tagen wies er einen offenkundig KI-generierten Fehlerbericht für Curl ab(öffnet im neuen Fenster) . "Wir erhalten regelmäßig und in großer Zahl KI-Müll wie diesen" , erklärte der Entwickler und wies auf die "unnötige Belastung" hin, die das für Curl-Maintainer nach sich ziehe.
"Sie haben einen offensichtlichen KI-Schrott-Bericht eingereicht, in dem Sie behaupten, es gäbe ein Sicherheitsproblem, weil eine KI Sie wahrscheinlich dazu verleitet hat, dies zu glauben. Dann verschwenden Sie unsere Zeit, indem Sie uns nicht sagen, dass eine KI dies für Sie generiert hat, und Sie setzen die Diskussion mit noch mehr bescheuerten Antworten fort, die anscheinend ebenfalls von einer KI erzeugt wurden" , so Stenbergs Worte.
Handlungsempfehlungen
Larson gibt Open-Source-Entwicklern in seinem Blogbeitrag ein paar Hinweise, woran KI-generierte Fehlerberichte häufig erkennbar sind - etwa wenn neu erstellte Accounts große Mengen augenscheinlich gut geschriebener, aber substanzloser Bug-Reports einreichen. Zudem empfiehlt er Betroffenen, sich für die Erkennung bei Bedarf Hilfe zu holen und für KI-Reports möglichst wenig Zeit und Energie zu verschwenden.
Diejenigen, die Bug-Reports einreichen, fordert Larson überdies dazu auf, von einem derartigen Einsatz von KI-Tools, die "keinen Code verstehen" , abzusehen und freiwillige Open-Source-Maintainer nicht mit solchen "Experimenten" zu konfrontieren. "Reichen Sie keine Berichte ein, die nicht von einem Menschen überprüft wurden" , so der Entwickler.