Durch KI überlastet: Kein Geld mehr für Bug-Reports an Open-Source-Projekte
Das für viele Softwareprojekte wichtige Bug-Bounty-Programm von Internet Bug Bounty (IBB) nimmt vorerst keine weiteren Einreichungen mehr an. Das betrifft auch die populäre Javascript-Laufzeitumgebung Node.js. Sicherheitsforscher, die Schwachstellen melden, erhalten also keine Belohnungen mehr dafür. Ursache für die Entscheidung sind KI-generierte Reports, die zahlreiche Projekte überfordern.
Das Bug-Bounty-Programm war laut IBB-Mitteilung auf Hackerone(öffnet im neuen Fenster) ursprünglich dazu gedacht, die Sicherheit in Open-Source-Projekten und Projekten zur Kerninfrastruktur des Internets zu stärken. Sowohl für die Entdeckung als auch für die Behebung von Sicherheitslücken sollten dafür jeweils Prämien ausgezahlt werden.
Doch durch den Einsatz von KI nahm die Erkennung neuer Sicherheitslücken zuletzt rapide an Fahrt auf . Dadurch habe sich das Gleichgewicht zwischen der Anzahl der gefundenen Lücken und den Korrekturkapazitäten im Open-Source-Bereich erheblich verschoben, heißt es beim IBB.
Kein Geld für Lücken bei Node.js
Das IBB-Programm wurde daher vorerst pausiert. Währenddessen will die Organisation zusammen mit Projektbetreuern und Forschern die Anreize des Programms überdenken und aktiv an neuen Lösungen arbeiten. Ziel ist es, sicherzustellen, dass Schwachstellen nicht nur gemeldet, sondern auch nachhaltig behoben werden.
Projekte wie Node.js bringt die vorübergehende Einstellung des Programms jedoch in eine schwierige Situation. In einem Blogbeitrag(öffnet im neuen Fenster) schreiben die Entwickler, dass Node.js kein eigenes Budget habe, um Sicherheitsforscher zu belohnen. "Ohne externe Unterstützung sind wir derzeit nicht in der Lage, Prämien für die Meldung von Sicherheitslücken anzubieten" , heißt es dort.
Wer Sicherheitslücken melden wolle, könne dies wie gewohnt über Hackerone tun. Einreichungen würden weiterhin mit höchster Priorität geprüft und bearbeitet. Lediglich eine finanzielle Belohnung könne derzeit nicht erbracht werden. Damit entfällt jedoch für Sicherheitsforscher ein wichtiger Anreiz, entdeckte Lücken überhaupt zu melden.
Auch bei Curl gibt es weiterhin Probleme
Der Curl-Entwickler Daniel Stenberg hatte sein Bug-Bounty-Programm schon zu Beginn des Jahres eingestellt . Als Grund nannte er eine zunehmende Flut an minderwertigen und mithilfe von KI erzeugten Schwachstellenmeldungen, die den Open-Source-Entwickler zuletzt zunehmend überlastet hatten . Stenberg wetterte in der Vergangenheit schon mehrfach gegen "KI-Schrott" .
Seitdem scheint sich die Qualität der KI-generierten Reports aber stark verbessert zu haben, wie Stenberg kürzlich in einem Beitrag auf Linkedin(öffnet im neuen Fenster) zugeben musste. "Wir erhalten eine stetig wachsende Zahl wirklich guter Sicherheitsmeldungen, die fast alle mithilfe von KI erstellt wurden" , heißt es dort.
Die Menge der Einreichungen wächst jedoch weiter. Stenberg spricht von einer "nie dagewesenen Frequenz" an Bug-Reports. Ähnliches sei auch bei anderen Open-Source-Projekten zu beobachten. Die Entwickler werden also inzwischen weniger mit KI-Schrott überlastet, dafür aber umso mehr mit ernstzunehmenden Bugs, für deren Bearbeitung sie gar nicht die nötigen Kapazitäten haben.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.