Son Dakika
RUВенгерский парламент пригрозил импичментом президенту из-за отказа подписать поправку к конституцииITSam Neill, attore di Jurassic Park, è morto a 78 anniINTLUkraine War: EU discusses sanctions, 'Coalition of the Willing' meets in ParisRUВ России подготовят около 600 экспертов для наблюдения за выборамиTRSüleyman Soylu anlattı: 15 Temmuz gecesi neler yaşandı?CN广东探索“产教评”技能生态链:三小时速成一线技工,助力稳就业RUБывшего гендиректора "Торпедо" Скородумова осудили за подкуп арбитровTRİzmir'de Deprem Hazırlıkları: Karşıyaka'da Saha Çalışmaları TamamlandıRUУполномоченный по правам ребенка: 11-летний умерший в больнице Севастополя ребенок имел паллиативный диагноз с рожденияRUЖители Омской области привлечены к ответственности за съемку атаки дронов на НПЗRUВенгерский парламент пригрозил импичментом президенту из-за отказа подписать поправку к конституцииITSam Neill, attore di Jurassic Park, è morto a 78 anniINTLUkraine War: EU discusses sanctions, 'Coalition of the Willing' meets in ParisRUВ России подготовят около 600 экспертов для наблюдения за выборамиTRSüleyman Soylu anlattı: 15 Temmuz gecesi neler yaşandı?CN广东探索“产教评”技能生态链:三小时速成一线技工,助力稳就业RUБывшего гендиректора "Торпедо" Скородумова осудили за подкуп арбитровTRİzmir'de Deprem Hazırlıkları: Karşıyaka'da Saha Çalışmaları TamamlandıRUУполномоченный по правам ребенка: 11-летний умерший в больнице Севастополя ребенок имел паллиативный диагноз с рожденияRUЖители Омской области привлечены к ответственности за съемку атаки дронов на НПЗ
Newsgather
GeriKI-Flut bei Bug-Bounty-Programmen: Nextcloud setzt Prämien aus
KI-Flut bei Bug-Bounty-Programmen: Nextcloud setzt Prämien aus
Gelişiyor
Heise Online24.04.2026Teknoloji2 dk okumaGermany

KI-Flut bei Bug-Bounty-Programmen: Nextcloud setzt Prämien aus

Zunehmende Anzahl an KI-generierten Sicherheitsberichten überlastet Open-Source-Projekte und führt zu Änderungen bei Vergütungsmodellen

Hızlı Bakış

  • Immer mehr Open-Source-Projekte wie Nextcloud stoppen monetäre Belohnungen für Sicherheitslücken, da KI-generierte Massenmeldungen die Kapazitäten der Entwickler übersteigen.
  • Auch andere Projekte wie curl berichten von einer massiven Zunahme an KI-gestützten Reports.

Yapay zekâ özeti

Neden Önemli?

Bug-Bounty-Programme dienen dazu, externe Forscher für das Finden von Sicherheitslücken zu belohnen. Durch den Einsatz von KI ist die Anzahl der Meldungen massiv gestiegen, was viele Projekte vor administrative Herausforderungen stellt.

Yazı boyutu

Mit Bug-Bounty-Programmen wollen Softwareprojekte externe IT-Forscher für das Auffinden und Melden von Sicherheitslücken locken und Einnahmemöglichkeiten schaffen. Künstliche Intelligenz ermöglicht nun, viel schneller und mehr Schwachstellen aufzudecken. Das führt dazu, dass immer mehr Projekte das Zahlen von Prämien im Rahmen der Bug-Bounty-Programme aufgrund der hohen Meldungszahl einstellen. Das jüngste Projekt, das die Einstellung von Zahlungen ankündigt, ist Nextcloud.

Auf der Bug-Bounty-Plattform HackerOne hat Nextcloud jetzt die Beschreibung des Programms entsprechend angepasst. „Bitte beachten Sie, dass Nextcloud keine monetären Prämien für Sicherheitsmeldungen ausschüttet, die durch dieses Programm übermittelt werden“, unter der Überschrift „Keine monetären Prämien“, findet sich seit einer Aktualisierung vom Mittwoch dort.

Nextcloud konkretisiert dazu, dass sie das Bug-Bounty-Programm mit Zahlungen temporär ausgesetzt haben, da sie mit einer hohen Anzahl an KI-generierten illegitimen Berichten konfrontiert seien – unabhängig vom Schweregrad. Man sehe sich aber weiterhin zutiefst der Sicherheit verpflichtet und arbeite weiter mit der Forschergemeinschaft zusammen. Gültige Meldungen werden weiter evaluiert, korrigiert und nach Veröffentlichung den Meldern zugeschrieben, wodurch Melder weiterhin Anerkennung erhalten.

Im Angesicht der zahlreichen KI-Sicherheitsberichte nimmt Nextcloud nur noch solche an, die die Melder selbst manuell nachvollzogen haben und mit Screenshots belegen können. Berichte, in die die Melder keine Mühe gesteckt haben, werden ignoriert und als Spam aussortiert.

Ende März sah sich auch das HackerOne-Projekt „Internet Bug Bounty“ zu einem drastischen Schritt gezwungen, es nimmt demnach derzeit gar keine neuen Einreichungen an. Es handelt sich um ein populäres Bug-Bounty-Programm allgemein für Open-Source-Projekte.

In diesem Themenkomplex darf der curl-Gründer und -Hauptentwickler Daniel Stenberg natürlich nicht fehlen. In einem Blog-Beitrag geht Stenberg auf das „High Quality Chaos“ ein, das in der Realität bestehe. Er habe sich zuvor wieder und wieder über KI-Slop beschwert, wodurch hochfrequente Müll-Berichte an das curl-Bug-Bounty-Programm gesendet wurden. Das führte dazu, dass er das Bug-Bounty-Programm im Februar zunächst komplett eingestellt habe, dann aber doch wieder zu HackerOne zurückkehrte, da die Bug-Verwaltung in GitHub unzureichend war.

KI-Slop sei inzwischen nicht mehr das Problem, bestätigt Stenberg nun. Die Anzahl an Fehlerberichten nehme jedoch massiv zu, bis jetzt sei man schon bei der doppelten Rate als im Jahr 2025 angelangt. Die Qualität sei gestiegen. Die Bestätigungsrate gehe sogar über das Vor-KI-Level in 2024 hinaus – zur Größenordnung schreibt Stenberg, das seien immerhin 15 bis 16 Prozent der Reports. In jedem Bericht sei inzwischen jedoch KI involviert, ergänzt er, man erkenne das etwa an der Art der Formulierungen und Phrasen. Bei einer kurzen Recherche in Mastodon zu anderen Open-Source-Projekten habe sich bestätigt, dass curl nicht das einzige Projekt mit diesem Problem ist, er listet zahlreiche namhafte und große Projekte wie Apache httpd, Firefox, Linux Kernel und weitere.

Die Anzahl an gefixten Schwachstellen wird ebenfalls steigen. Stenberg kündigt an, dass curl 8.20.0, das er Mitte kommender Woche veröffentlichen will, mindestens sechs neue Schwachstellen ausbessert. Unklar ist er sich jedoch darüber, wo das enden wird. Es könne sein, dass die Meldungen in einigen Jahren ein Plateau erreichen, wie es mit Fuzzing zur Schwachstellensuche geschehen ist.

Da jetzt schon so eine Flut an Schwachstellen mit KI gefunden wird, stellt sich ein wenig die Frage, ob es wirklich sinnvoll ist, Schwachstellensuch-KI wie Mythos unter Verschluss zu halten. Die anderen KI-Entwickler hinken offenbar nicht allzu weit hinterher.

Bundan Sonra Ne Olabilir?

Yapay zekâ öngörüsü — kesinlik taşımaz

  • Weitere Open-Source-Projekte werden ihre Bug-Bounty-Richtlinien anpassen oder Zahlungen aussetzen.

    Çok muhtemel · Aylar içinde

  • Plattformen wie HackerOne werden neue Filtermechanismen gegen KI-generierte Berichte einführen.

    Muhtemel · Aylar içinde

Açık Sorular

  • Wie werden sich die Sicherheitsstandards langfristig entwickeln, wenn finanzielle Anreize wegfallen?
  • Gibt es technische Lösungen, um KI-generierte Spam-Berichte automatisiert zu filtern?

İlgili Konular

Bu haber ilk olarak şurada yayınlandı: Heise Online.

İlgili Haberler

Will Ahmed: Schlaf ist die wichtigste Leistungskennzahl
Gelişiyor·1 g önce

Will Ahmed: Schlaf ist die wichtigste Leistungskennzahl

Will Ahmed, Gründer von Whoop, spricht über die Bedeutung von Schlaf für die Leistungsfähigkeit und die Herausforderungen des Selbstoptimierungsdrucks. Das Unternehmen, das Wearables zur Gesundheitsdatenerfassung anbietet, wird mit 10 Milliarden Dollar bewertet und plant möglicherweise einen Börsengang. Ahmed betont die Wichtigkeit von Schlafkonstanz und die Erkenntnisse, die Whoop über Covid-19 und Schwangerschaften gewonnen hat.

n-tv Wirtschaft
Bu konuda daha fazlanextcloud