Internet Bug Bounty pausiert: KI-generierte Meldungen überfluten Open-Source-Projekte wie Node.js

Ein zentrales Sicherheitsprogramm für das offene Internet ist vorübergehend außer Kraft gesetzt. Die Internet Bug Bounty (IBB), eine wichtige Plattform zur Belohnung von Sicherheitsforschern, hat die Auszahlung von Prämien eingestellt. Der Grund ist eine massive Überlastung durch KI-generierte Meldungen, die die beteiligten Open-Source-Projekte nicht mehr bewältigen können. Diese Entwicklung trifft Kernprojekte wie Node.js direkt und gefährdet ein etabliertes System zur Schwachstellenbeseitigung.

Die IBB fungiert als Mittler zwischen Sicherheitsforschern und großen Open-Source-Projekten. Die aktuelle Flut an Meldungen, die durch KI-Tools erzeugt wird, hat zu einem kritischen Ungleichgewicht geführt: Es wird viel gemeldet, aber wenig tatsächlich gefixt. Die Qualität der automatisch generierten Berichte ist oft niedrig, was die Entwicklerteams mit unnötiger Prüfarbeit überhäuft, anstatt echte Schwachstellen effizient zu beheben. Diese Ineffizienz zwingt die IBB nun zu einer Pause, um das System neu zu bewerten.

Der Stopp des Bug-Bounty-Programms setzt die betroffenen Open-Source-Ökosysteme unter erheblichen Druck. Ohne funktionierende Anreizstruktur könnten echte, kritische Sicherheitslücken unentdeckt bleiben oder nicht gemeldet werden. Die Situation offenbart ein grundlegendes Problem der KI-Integration in Sicherheitsprozesse: Automatisierung kann die Entdeckungsrate erhöhen, aber ohne entsprechende Filter und menschliche Expertise führt sie zu Lähmung statt zu Fortschritt. Die Zukunft eines zentralen Instruments für die Sicherheit des offenen Webs steht damit infrage.