Die Cybersecurity-Branche steht vor einer beispiellosen Herausforderung: Eine Lawine von KI-generierten Schwachstellenberichten überschwemmt Bug-Bounty-Programme und bringt etablierte Sicherheitsinitiativen an den Rand des Kollapses. Daniel Stenberg, Schöpfer des weit verbreiteten Curl-Tools, erwägt bereits die komplette Schließung seines Bug-Bounty-Programms aufgrund der dramatischen Zunahme minderwertiger, automatisch generierter Meldungen.
Alarmierender Anstieg: 20% aller Berichte sind KI-Müll
Die Zahlen sprechen eine deutliche Sprache: Bereits 20% aller Schwachstellenberichte im Jahr 2025 bestehen aus KI-generierten Inhalten ohne echten Sicherheitswert. Das Curl-Projekt erhält wöchentlich etwa zwei Berichte über potenzielle Sicherheitslücken, doch nur magere 5% davon erweisen sich als tatsächlich relevante Bedrohungen – ein dramatischer Rückgang im Vergleich zu früheren Jahren.
Besonders problematisch ist die Tatsache, dass die Qualität der KI-generierten Berichte so sophistiziert geworden ist, dass Sicherheitsexperten nicht immer sofort erkennen können, ob ein Report von einem Menschen mit KI-Unterstützung oder vollständig automatisiert erstellt wurde.
Wirtschaftliche Belastung für Open-Source-Projekte
Die finanziellen Auswirkungen sind erheblich. Curl’s Bug-Bounty-Programm, das seit 2019 läuft, hat bereits über 90.000 Dollar für 81 bestätigte Schwachstellen ausgezahlt. Die stetig wachsende Menge falscher Meldungen stellt jedoch eine untragbare Belastung für die Projektressourcen dar.
Das Curl-Sicherheitsteam besteht aus lediglich sieben Personen, wobei jeder Bericht von drei bis vier Gutachtern überprüft wird. Die Analyse einer einzigen Meldung dauert zwischen 30 Minuten und drei Stunden – eine kritische Zeitinvestition für ehrenamtliche Mitarbeiter mit begrenzten Kapazitäten.
Burnout-Gefahr in der Sicherheitsgemeinschaft
Stenberg betont, dass das Problem weit über reine Zeitverschwendung hinausgeht. Die Bearbeitung sinnloser Berichte führt zu emotionaler Erschöpfung der Sicherheitsteams, insbesondere bei Freiwilligen, die dem Projekt nur wenige Stunden pro Woche widmen können.
Branchenweite Auswirkungen der KI-Problematik
Die KI-Müll-Problematik beschränkt sich nicht auf Curl. Weitere prominente Projekte melden ähnliche Herausforderungen:
Seth Larson vom Python-Team äußerte bereits im Dezember 2024 vergleichbare Bedenken und verwies auf die hohen Kosten bei der Bearbeitung KI-generierter Berichte, die oberflächlich betrachtet legitim erscheinen.
Benjamin Piouffle von Open Collective bestätigte das Vorhandensein des Problems in seiner Organisation und warnte davor, dass verschärfte Berichtsanforderungen junge Sicherheitsforscher benachteiligen könnten.
Lösungsansätze und deren Grenzen
Stenberg evaluiert verschiedene Gegenmaßnahmen, darunter die Einführung von Bearbeitungsgebühren oder die komplette Abschaffung finanzieller Anreize. Er räumt jedoch ein, dass die Eliminierung monetärer Belohnungen den Strom wertloser Berichte nicht vollständig stoppen wird, da viele Absender aufrichtig an die Nützlichkeit ihrer Beiträge glauben.
Die aktuelle Richtlinie von Curl’s Bug-Bounty-Programm über HackerOne verlangt lediglich eine Benachrichtigung über die Nutzung generativer KI, verbietet deren Einsatz jedoch nicht. Dieser Ansatz erweist sich als unzureichend für die Bewältigung der Herausforderung.
Zukunft der Sicherheitsforschung in Gefahr
Die KI-Müll-Situation könnte die Landschaft der Sicherheitsforschung grundlegend verändern. Der Übergang zu strengeren Verifikationssystemen und die Beschränkung des Zugangs auf verifizierte Forscher könnte Einstiegshürden in die Cybersecurity-Branche schaffen.
Die Problematik KI-generierter Fake-Reports in Bug-Bounty-Programmen stellt eine ernsthafte Bedrohung für das Cybersecurity-Ökosystem dar. Dringende Maßnahmen seitens der Plattformen wie HackerOne sind erforderlich, um minderwertige Inhalte zu filtern und die wertvollen Ressourcen der Sicherheitsexperten zu schützen. Ohne effektive Lösungen riskiert die Branche den Verlust wichtiger Instrumente zur Schwachstellenidentifikation und Softwaresicherheit.
