Bug-Bounty-Programme ohne Geldprämien: Auch Nextcloud kapituliert vor KI

Mit Bug-Bounty-Programmen wollen Softwareprojekte externe IT-Forscher für das Auffinden und Melden von Sicherheitslücken locken und Einnahmemöglichkeiten schaffen. Künstliche Intelligenz ermöglicht nun, viel schneller und mehr Schwachstellen aufzudecken. Das führt dazu, dass immer mehr Projekte das Zahlen von Prämien im Rahmen der Bug-Bounty-Programme aufgrund der hohen Meldungszahl einstellen. Das jüngste Projekt, das die Einstellung von Zahlungen ankündigt, ist Nextcloud.

Auf der Bug-Bounty-Plattform HackerOne hat Nextcloud jetzt die Beschreibung des Programms entsprechend angepasst. „Bitte beachten Sie, dass Nextcloud keine monetären Prämien für Sicherheitsmeldungen ausschüttet, die durch dieses Programm übermittelt werden“, unter der Überschrift „Keine monetären Prämien“, findet sich seit einer Aktualisierung vom Mittwoch dort.

Nextcloud konkretisiert dazu, dass sie das Bug-Bounty-Programm mit Zahlungen temporär ausgesetzt haben, da sie mit einer hohen Anzahl an KI-generierten illegitimen Berichten konfrontiert seien – unabhängig vom Schweregrad. Man sehe sich aber weiterhin zutiefst der Sicherheit verpflichtet und arbeite weiter mit der Forschergemeinschaft zusammen. Gültige Meldungen werden weiter evaluiert, korrigiert und nach Veröffentlichung den Meldern zugeschrieben, wodurch Melder weiterhin Anerkennung erhalten.

Menge und Qualität der KI-Berichte

Im Angesicht der zahlreichen KI-Sicherheitsberichte nimmt Nextcloud nur noch solche an, die die Melder selbst manuell nachvollzogen haben und mit Screenshots belegen können. Berichte, in die die Melder keine Mühe gesteckt haben, werden ignoriert und als Spam aussortiert.

Ende März sah sich auch das HackerOne-Projekt „Internet Bug Bounty“ zu einem drastischen Schritt gezwungen, es nimmt demnach derzeit gar keine neuen Einreichungen an. Es handelt sich um ein populäres Bug-Bounty-Programm allgemein für Open-Source-Projekte.

In diesem Themenkomplex darf der curl-Gründer und -Hauptentwickler Daniel Stenberg natürlich nicht fehlen. In einem Blog-Beitrag geht Stenberg auf das „High Quality Chaos“ ein, das in der Realität bestehe. Er habe sich zuvor wieder und wieder über KI-Slop beschwert, wodurch hochfrequente Müll-Berichte an das curl-Bug-Bounty-Programm gesendet wurden. Das führte dazu, dass er das Bug-Bounty-Programm im Februar zunächst komplett eingestellt habe, dann aber doch wieder zu HackerOne zurückkehrte, da die Bug-Verwaltung in GitHub unzureichend war.

KI-Slop sei inzwischen nicht mehr das Problem, bestätigt Stenberg nun. Die Anzahl an Fehlerberichten nehme jedoch massiv zu, bis jetzt sei man schon bei der doppelten Rate als im Jahr 2025 angelangt. Die Qualität sei gestiegen. Die Bestätigungsrate gehe sogar über das Vor-KI-Level in 2024 hinaus – zur Größenordnung schreibt Stenberg, das seien immerhin 15 bis 16 Prozent der Reports. In jedem Bericht sei inzwischen jedoch KI involviert, ergänzt er, man erkenne das etwa an der Art der Formulierungen und Phrasen. Bei einer kurzen Recherche in Mastodon zu anderen Open-Source-Projekten habe sich bestätigt, dass curl nicht das einzige Projekt mit diesem Problem ist, er listet zahlreiche namhafte und große Projekte wie Apache httpd, Firefox, Linux Kernel und weitere.

Die Anzahl an gefixten Schwachstellen wird ebenfalls steigen. Stenberg kündigt an, dass curl 8.20.0, das er Mitte kommender Woche veröffentlichen will, mindestens sechs neue Schwachstellen ausbessert. Unklar ist er sich jedoch darüber, wo das enden wird. Es könne sein, dass die Meldungen in einigen Jahren ein Plateau erreichen, wie es mit Fuzzing zur Schwachstellensuche geschehen ist.

Da jetzt schon so eine Flut an Schwachstellen mit KI gefunden wird, stellt sich ein wenig die Frage, ob es wirklich sinnvoll ist, Schwachstellensuch-KI wie Mythos unter Verschluss zu halten. Die anderen KI-Entwickler hinken offenbar nicht allzu weit hinterher.

(dmk)