Curl: Bug-Bounty-Programm dank KI-Spam vor dem Aus?

Curl: Bug-Bounty-Programm dank KI-Spam vor dem Aus?

Curl-Projekt ertrinkt in KI-Spam

Das Curl-Projekt kämpft immer noch mit falschen Fehlermeldungen, die KI-Systeme generieren. Das Entwicklerteam denkt jetzt sogar offen darüber nach, das Bug-Bounty-Programm einzustellen.

Immer wieder reichen findige Personen Fehlerberichte ein, die sie ganz offensichtlich mithilfe einer fantasierenden KI erstellt haben. Die Curl-Entwickler müssen diese Berichte zeitaufwendig sichten und dann schließlich als Nonsens aussortieren. An jeder gemeldeten Sicherheitslücke arbeiten bis zu vier Personen für mindestens eine halbe Stunde. Das bindet Arbeitskraft, die man an anderer Stelle besser investieren könnte.

Mit diesem sogenannten „AI Slop“ kämpft das Curl-Projekt schon seit einiger Zeit. Wie Curl-Erfinder und Chef-Entwickler Daniel Stenberg in einem Blog-Beitrag berichtet, eskaliert die Situation aber offenbar weiter. So erhalte man neben „AI Slop“ zunehmend auch „Human Slop“. Bei letztgenannten Meldungen lässt sich nicht direkt entscheiden, ob es von einer künstlichen Intelligenz stammt.

Anziehend für viele Meldungen scheint auch das Bug-Bounty-Programm zu sein: Wer eine Sicherheitslücke in Curl meldet, hat die Chance auf eine monetäre Belohnung. Das kann durchaus lukrativ sein. So hat das Curl-Projekt seit 2019 nach eigenen Angaben über 90.000 US-Dollar ausgeschüttet. Das Bug-Bounty-Programm wickelt HackerOne ab. Diese Plattform bietet zwar einen Mechanismus, der Falschmeldungen abstraft, Nutzer können aber beliebig viele neue Konten mit einer weißen Weste anlegen.

Um sich und insbesondere das Sicherheitsteam zu entlasten, denkt Daniel Stenberg offen darüber nach, das Bug-Bounty-Programm komplett einzustellen. Allerdings würde diese Maßnahme Curl weniger attraktiv für professionelle Sicherheitsforscher machen – und vermutlich den AI Slop nicht vollständig unterbinden. Daniel Stenberg hält die Einstellung des Bug-Bounty-Programms jedoch offenbar für notwendig.

In den Kommentaren zu seinem Blog-Post liefert die Community bereits weitere alternative Vorschläge und Vorgehensweisen, zu denen sich Daniel Stenberg aber noch nicht geäußert hat.

Ähnliche Artikel

IPFire 2.29 Core Update 202 schließt Kernel-Lücken

IPFire 2.29 Core Update 202

IPFire-Maskottchen
Tim Schürmann

Die neue Version der schlanken und flexiblen Firewall stopft die vor einigen Tagen entdeckten kritischen Sicherheitslücken im Kernel. Das Update von OpenVPN auf die Version 2.7 steigert zudem massiv den Durchsatz über VPN-Tunnel.

Was sonst noch unwichtig war in der Kalenderwoche 21/26

Was sonst noch unwichtig war

Tim Schürmann

Fünf fabelhafte Fakten der Woche, die es irgendwie nicht zu einer Meldung auf Linux-Magazin Online geschafft haben – und warum eigentlich nicht. Oder mit den Worten einer namhaften KI: „Die Linux-Woche in Bits und Panik.“

WordPress 7.0 verbessert Backend-Optik und setzt auf KI

WordPress 7.0

Logo WordPress
Tim Schürmann

Die Louis Armstrong gewidmete Version des Content-Management-Systems kommuniziert auf Wunsch mit generativer KI, zeigt ein leicht aufpoliertes Backend, erlaubt einen schnellen Blick in die Vergangenheit und kann die Schriftbibliothek in allen Themes nutzen.

Proxmox VE 9.2 bietet neuen dynamischen Load Balancer

Proxmox VE 9.2

Proxmox-Logo
Tim Schürmann

Das Proxmox Virtual Environment bietet einen neuen Cluster Resource Scheduler (CRS) für das Load Balancing, verbessert das Software Defined Networking (SDN), verwaltet benutzerdefinierte CPUs über die Weboberfläche und erlaubt ein „disarm“ des HA-Managers.

Tails 7.8: Thunderbird ist nicht mehr standardmäßig dabei

Tails 7.8

Tails-Logo
Tim Schürmann

Das Live-System Tails erlaubt das anonyme Surfen im Internet über das Tor-Netzwerk. Die neue Version 7.8 schmeißt Thunderbird von Bord – wer den E-Mail-Client benötigt, muss ihn ab sofort manuell nachinstallieren. Diese Maßnahme hat allerdings einen triftigen Grund.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
© COMPUTEC MEDIA GmbH
Nach oben