Daniel Stenberg hat ein Problem. Der Gründer und Lead-Developer von curl — dem Kommandozeilen-Tool, das in praktisch jedem Betriebssystem steckt — wird von Sicherheitsberichten überrollt. Nicht von echten. Von KI-generierten.
In seinem Blogpost ‘The Pressure’ beschreibt Stenberg, was passiert, wenn man Menschen ein KI-Tool in die Hand gibt und ihnen sagt, sie können Geld verdienen, indem sie Sicherheitslücken melden. Anfang 2026 erhielt das curl-Projekt sieben HackerOne-Meldungen in sechzehn Stunden. Die meisten davon waren Müll — sogenannter ‘KI-Slop’.
Die Zahlen sind alarmierend
curl hat in der ersten Hälfte von 2026 bereits 12 bestätigte Sicherheitslücken (CVEs) veröffentlicht. Das Projekt rechnet mit mindestens 30 CVEs bis Jahresende — ein neuer Rekord. Aber der Grund ist nicht, dass curl unsicherer geworden ist. Es ist eine Kombination aus zwei Effekten:
Auf der einen Seite nutzen fähige Sicherheitsforscher KI-Tools, um tatsächlich tiefere Bugs zu finden. Diese Berichte sind wertvoll. Auf der anderen Seite produzieren weniger fähige Akteure mit den gleichen Tools Berichte, die oberflächlich professionell aussehen, aber inhaltlich Unsinn sind. Und Maintainer müssen beide Arten von Berichten bewerten — was Zeit kostet.
Bug Bounty abgeschafft und wieder eingeführt
Die Situation wurde so schlimm, dass curl sein Bug-Bounty-Programm auf HackerOne komplett einstellte. Stenberg wollte den finanziellen Anreiz für Müll-Berichte eliminieren. Das Projekt wechselte auf direkte Meldungen über GitHub oder E-Mail.
Einen Monat später die Kehrtwende: GitHub und E-Mail funktionierten schlechter als erwartet für echte Sicherheitsmeldungen. Also ging curl zurück zu HackerOne — mit strengeren Filtern, aber dem gleichen Grundproblem.
Ein Branchenproblem, nicht nur curls
Was Stenberg beschreibt, ist kein Einzelfall. Auf der FOSDEM 2026 sprach er davon, dass KI die Security-Arbeit in zwei Richtungen verändert: Sie hilft echten Forschern, tiefere Bugs zu finden — und sie hilft gleichzeitig Trittbrettfahrern, professionell aussehenden Müll zu produzieren.
Das betrifft jedes größere Open-Source-Projekt. Die Maintainer — oft Einzelpersonen oder kleine Teams — müssen jetzt nicht nur Code warten, sondern auch eine wachsende Flut von Berichten filtern, die auf den ersten Blick legitim aussehen.
Was das für uns bedeutet
Das ist eine der unbeabsichtigten Konsequenzen von frei verfügbaren KI-Tools. Niemand hat geplant, Open-Source-Maintainer mit Fake-Security-Reports zu überfluten. Aber genau das passiert, wenn man leistungsfähige Textgenerierung mit finanziellen Anreizen kombiniert.
Die Lösung wird nicht einfach sein. Strengere Filter helfen kurzfristig, aber die KI-generierten Berichte werden besser werden. Am Ende braucht es wahrscheinlich KI-gestützte Triage-Systeme — ironischerweise die gleiche Technologie, die das Problem verursacht hat.
Quellen: