Curl-Logo

Curl-Hauptentwickler Daniel Stenberg hat angekündigt, das Bug-Bounty-Programm von Curl wegen zu vielen KI-Schrottmeldungen Ende Januar zu beenden. Das Programm war 2019 an den Start gegangen.

Dabei war das Programm erfolgreich, man habe Experten damit gewinnen können, die viele aktuellen Lücken gefunden hätten. Damit sei es gelungen, Curl besser zu machen, berichtet Stenberg. Darauf sei er stolz.

Dann aber sei das Ganze gekippt. Rückblickend lässt sich sagen, dass der Niedergang des Bug-Bounty-Programms in der zweiten Hälfte des Jahres 2024 langsam begann, sich aber im Jahr 2025 drastisch beschleunigte, schreibt Stenberg.

Es sei eine explosionsartige Zunahme von AI-Slop-Meldungen (Slop = KI generierte Schrottinhalte) zu beobachten gewesen, verbunden mit einer geringeren Qualität selbst bei den Meldungen, die nicht offensichtlich Slop waren – vermutlich, weil auch sie tatsächlich durch AI in die Irre geführt wurden, dies jedoch besser verborgen blieb.

Die endlosen Slop-Meldungen seien mental sehr anstrengend und manchmal auch sehr zeitaufwendig, um sie zu widerlegen. Das sei Zeit und Energie, die völlig verschwendet wird und gleichzeitig die Lebensfreude der Entwickler beeinträchtigt.

Er habe auch zunehmend das Gefühl, dass viele Sicherheitsberichterstatter ihre Berichte in böser Absicht einreichen. Diese „Helfer” versuchen zu sehr, alles, was sie finden, zu etwas Schrecklichem und einer kritischen Schwachstelle hochzuspielen, tragen aber selten aktiv dazu bei, Curl tatsächlich zu verbessern, bemängelt Stenberg.