Open-Source-Entwickler ertrinken in KI-generierten Bug-Reports
KI soll dabei helfen, Sicherheitslücken in Quellcodes besser zu finden. Allerdings läuft die Praxis darauf hinaus, dass die Entwickler-Teams hinter Open-Source-Projekten zunehmend mit wenig gehaltvollen, automatisch generierten Berichten überschwemmt werden.
"In letzter Zeit sehe ich eine Zunahme von extrem minderwertigen, spamartigen und KI-generierten Sicherheitsmeldungen", erklärte Larson. Diese Berichte scheinen auf den ersten Blick glaubwürdig und erfordern daher Zeit, um sie zu widerlegen. Solche fehlerhaften Berichte, die durch KI-Halluzinationen entstehen, sollten seiner Meinung nach wie bösartige Angriffe behandelt werden.
Auch Daniel Stenberg, Maintainer des Curl-Projekts, berichtet von ähnlichen Erfahrungen. In einem kürzlich veröffentlichten Beitrag kritisierte er, dass vermeintliche Sicherheitslücken, die durch KI gefunden wurden, regelmäßig und in großer Zahl eingereicht werden. "Solche Meldungen belasten die ohnehin knappen Ressourcen der Maintainer unnötig", so Stenberg.
Larson fordert grundlegende Änderungen in der Open-Source-Sicherheitsarbeit, um der Herausforderung zu begegnen. Dazu gehört die stärkere Einbindung vertrauenswürdiger Personen und die Förderung durch Finanzierung oder Zeitspenden von Unternehmen. Gleichzeitig appelliert er an Plattformen, die Sicherheitslückenmeldungen akzeptieren, automatisierte oder missbräuchliche Berichte einzuschränken. Bis solche Maßnahmen greifen, bittet Larson Entwickler, Sicherheitslücken nur dann zu melden, wenn sie von Menschen geprüft wurden. "KI-Systeme sind heute nicht in der Lage, Code zu verstehen", betont er.
Siehe auch:
Minderwertige Berichte fressen Zeit
Der KI-Einsatz habe eine "neue Ära minderwertiger Sicherheitsberichte" eingeleitet, erklärte Seth Larson, Sicherheitsentwickler bei der Python Software Foundation, laut eines Berichts des britischen Magazins The Register. In einem Blogbeitrag appellierte er an die Community, bei der Meldung von Sicherheitslücken nicht auf KI-Systeme zurückzugreifen."In letzter Zeit sehe ich eine Zunahme von extrem minderwertigen, spamartigen und KI-generierten Sicherheitsmeldungen", erklärte Larson. Diese Berichte scheinen auf den ersten Blick glaubwürdig und erfordern daher Zeit, um sie zu widerlegen. Solche fehlerhaften Berichte, die durch KI-Halluzinationen entstehen, sollten seiner Meinung nach wie bösartige Angriffe behandelt werden.
Auch Daniel Stenberg, Maintainer des Curl-Projekts, berichtet von ähnlichen Erfahrungen. In einem kürzlich veröffentlichten Beitrag kritisierte er, dass vermeintliche Sicherheitslücken, die durch KI gefunden wurden, regelmäßig und in großer Zahl eingereicht werden. "Solche Meldungen belasten die ohnehin knappen Ressourcen der Maintainer unnötig", so Stenberg.
Gefahr für Projekte
Für Open-Source-Projekte sind diese KI-generierten Sicherheitsberichte besonders problematisch, da sie Zeit und Aufmerksamkeit der Entwickler beanspruchen - oft Freiwillige, die ohnehin unter Zeitdruck stehen. Larson warnt davor, dass die Python-Community nur der Anfang eines breiteren Trends sein könnte. "Was Python oder pip betrifft, wird wahrscheinlich auch andere Projekte treffen", erklärt er. Fehlalarme durch KI könnten die Motivation der Maintainer beeinträchtigen und zu Burn-out führen.Larson fordert grundlegende Änderungen in der Open-Source-Sicherheitsarbeit, um der Herausforderung zu begegnen. Dazu gehört die stärkere Einbindung vertrauenswürdiger Personen und die Förderung durch Finanzierung oder Zeitspenden von Unternehmen. Gleichzeitig appelliert er an Plattformen, die Sicherheitslückenmeldungen akzeptieren, automatisierte oder missbräuchliche Berichte einzuschränken. Bis solche Maßnahmen greifen, bittet Larson Entwickler, Sicherheitslücken nur dann zu melden, wenn sie von Menschen geprüft wurden. "KI-Systeme sind heute nicht in der Lage, Code zu verstehen", betont er.
Zusammenfassung
- KI-generierte Bug-Reports überfordern Open-Source-Entwickler
- Entwickler berichten von Flut minderwertiger Sicherheitsmeldungen
- Fehlalarme durch KI-Halluzinationen binden wertvolle Ressourcen
- Open-Source-Projekte sind besonders von KI-generierten Berichten betroffen
- Gefahr von Entwickler-Burn-out durch ständige Überprüfung falscher Meldungen
- Forderung nach Einschränkung automatisierter Sicherheitsberichte
- Appell: Nur von Menschen geprüfte Sicherheitslücken melden
Siehe auch:
Thema:
Beliebte Open-Source-Downloads
Videos zum Thema
Beiträge aus dem Forum
Weiterführende Links
Neue Nachrichten
- Forscher bauen aus alten Handys erstaunlich leistungsstarke Server
- Xbox-Exodus: Chef von Microsofts Spielestudios geht
- Galaxy A27: Samsung leakt sein neues Jedermann-Smartphone selbst
- Spiele als Dauerwerbesendung: EA plant Reklame 'direkt im Gameplay'
- Nutzen umstritten, UK bannt dennoch Social Media für Unter-16-Jährige
- Fox kauft Roku: Neuer Streaming-Gigant für 22 Milliarden Dollar
- Drohnen-Alternative: Schlangenroboter prüfen Hochspannungsleitungen
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen