Das curl-Projekt muss nach Jahren und Tausenden Dollar an Sicherheitsforscher sein Bug-Bounty-Programm einstellen. Der Grund: LLMs.
Daniel Stenberg, Chefentwickler des curl-Projektes, hat heute in einem Blogpost offiziell bekannt gegeben. Das curl-Projekt muss sein Bug-Bounty-Programm einstellen. Das war bereits zuvor durch GitHub–Commits geleakt worden.
Lang angedrohtes Reißleine-ziehen
Bereits seit Langem klagen die curl-Maintainer über ein hohes Aufkommen von KI-Müll in ihrem HackerOne-Portal. Und schon letztes Jahr sinnierte man über eine Reihe von Gegenmaßnahmen. Diese reichten von Checks vorheriger Meldungen, über die Zahlung einer Gebühr, bis hin zur gänzlichen Einstellung des Programmes. Nachdem auch diese Drohungen scheinbar auf taube Ohren stießen, wird nun die Reißleine gezogen und das Bug-Bounty Programm eingestellt. curl zahlt kein weiteres Geld mehr an Sicherheitsforscher aus.
Bereits im Januar 2024 hatte Stenberg in seinem Post „Das I in LLM steht für Intelligenz“ ein paar Beispiele von KI-Slop geteilt. Es war schnell ersichtlich, warum das, sollte es so weitergehen, noch ein großes Problem werden würde. Schneller Vorlauf zu heute und wir sehen: über 130 Reports allein im 2. Halbjahr 2025, während andere Projekte auf der gleichen Plattform im gleichen Zeitraum kaum 50 hatten.
Warum ist es Spam? Die Fehler waren:
- teilweise bereits gefixt
- in Code, der gar nicht existiert
- in Funktionen, die bereits gegen den vorgeschlagenen Angriff abgesichert waren
Trotzdem mussten alle Reports im Bug-Bounty-Programm eingehend von den Maintainern untersucht werden. Es könnte ja doch was dran sein.
Fake-Forscher raus aus der Sicherheitsforschung!
Ähnlich ist auch die Häufigkeit von „Beg-Bounties“ gestiegen, seit LLMs erlauben, große Teile des Prozesses zu automatisieren. Zum Nachteil der Empfänger. Wenn die gemeldeten Fehler Quatsch sind, die die Signal-zu-Rausch-Rate in die Höhe treiben und (im schlimmsten Fall), wie hier, zur Einstellung des Bug-Bounty Programmes führen.
Bug-Bounty-Programm missbraucht
Auch Apache’s Log4J meldet Probleme mit steigenden „qualitativ minderwertigen“ Einsendungen und wird, sofern keine Besserung eintritt, das Programm zu Ende Februar ebenfalls einstellen. Das ist kein haltbarer Zustand. Bug Bounties sind eine essenzielle Einnahmequelle für Sicherheitsforscher. Und der Umstand, dass einige wenige Menschen ohne Ahnung, und vor allem ohne Rücksicht auf die Ressourcen der Projekte, eine der wichtigsten Methoden für die Sicherung unserer Infrastruktur kaputt machen ist ein Zeichen, dass ein grassierender Egoismus uns allen am Ende nicht gut tun wird. Man kann nur hoffen, dass die Submitter der Spam-Reports am eigenen Leib erfahren können, welche gravierenden Folgen eine Sicherheitslücke in libcurl haben kann.
Vielleicht wäre es hier ein Ansatz für die Plattformen, zumindest Grundsatzwissen in Programmiersprachen abzufragen. Mit einem ausreichend kurzen Timer könnte das vielleicht helfen, die Spreu vom Weizen zu trennen.
