Turso beendet Bug-Bounty-Programm wegen KI-generierten Spam-Einreichungen
Turso, das Unternehmen hinter einer SQLite-Neuentwicklung, hatte seit fast einem Jahr ein Bug-Bounty-Programm mit $1.000 Prämie für nachgewiesene Datenkorrumptions-Fehler. In diesem Zeitraum wurden insgesamt 5 Personen ausgezahlt, darunter Alperen (Simulator-Contributor), Mikael (später eingestellt) und Pavan Nambi, der mit formalen Methoden über zehn Bugs in SQLite selbst fand. Das Programm funktionierte solange gut, wie eine hohe Hürde bestand: Einreichungen mussten den Turso-Deterministic-Simulator erweitern, um einen Bug zu demonstrieren. Nach dem Einsetzen massenhafter LLM-Nutzung änderte sich dies schlagartig. Maintainer verbrachten Tage damit, KI-generierte PRs zu schließen – darunter Einreichungen, die manuell Garbage-Bytes ins Datenbankheader injizierten, oder solche, die „arbitrary SQL execution" als Sicherheitslücke einer SQL-Datenbank meldeten. Turso betreibt eine umfangreiche Testinfrastruktur inkl. Fuzzer, Concurrency-Simulator, Oracle-basiertem Differential-Testing gegen SQLite und Antithesis-Runs. Das Unternehmen veröffentlicht die Entscheidung bewusst öffentlich als Beitrag zur Diskussion über neue Governance-Modelle in Open-Source im KI-Zeitalter.
- Turso zahlte $1.000 pro nachgewiesenem Datenkorrumptions-Bug – insgesamt 5 Personen wurden prämiert.
- Einreichungshürde war ursprünglich hoch: Der Turso Deterministic Simulator musste zur Demonstration erweitert werden.
- Pavan Nambi fand per formaler Methoden nicht nur Turso-Bugs, sondern über 10 Fehler in SQLite selbst.
- KI-Slop-Beispiele: manuell injizierte Garbage-Bytes, 'arbitrary SQL execution' als Vulnerability, SQLite-Inkompatibilität mit Turso-Features als Bug deklariert.
- Turso testet mit Fuzzern, Concurrency-Simulator, Differential-Testing gegen SQLite und Antithesis-Runs; Bugs >1 GB Datenbankgröße entgingen dem Simulator durch aggressive Fault-Injection.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
Turso beendet Bug-Bounty-Programm wegen KI-generierten Spam-Einreichungen
Turso, das Unternehmen hinter einer SQLite-Neuentwicklung, hatte seit fast einem Jahr ein Bug-Bounty-Programm mit $1.000 Prämie für nachgewiesene Datenkorrumptions-Fehler. In diesem Zeitraum wurden insgesamt 5 Personen ausgezahlt, darunter Alperen (Simulator-Contributor), Mikael (später eingestellt) und Pavan Nambi, der mit formalen Methoden über zehn Bugs in SQLite selbst fand. Das Programm funktionierte solange gut, wie eine hohe Hürde bestand: Einreichungen mussten den Turso-Deterministic-Simulator erweitern, um einen Bug zu demonstrieren. Nach dem Einsetzen massenhafter LLM-Nutzung änderte sich dies schlagartig. Maintainer verbrachten Tage damit, KI-generierte PRs zu schließen – darunter Einreichungen, die manuell Garbage-Bytes ins Datenbankheader injizierten, oder solche, die „arbitrary SQL execution" als Sicherheitslücke einer SQL-Datenbank meldeten. Turso betreibt eine umfangreiche Testinfrastruktur inkl. Fuzzer, Concurrency-Simulator, Oracle-basiertem Differential-Testing gegen SQLite und Antithesis-Runs. Das Unternehmen veröffentlicht die Entscheidung bewusst öffentlich als Beitrag zur Diskussion über neue Governance-Modelle in Open-Source im KI-Zeitalter.
- Turso zahlte $1.000 pro nachgewiesenem Datenkorrumptions-Bug – insgesamt 5 Personen wurden prämiert.
- Einreichungshürde war ursprünglich hoch: Der Turso Deterministic Simulator musste zur Demonstration erweitert werden.
- Pavan Nambi fand per formaler Methoden nicht nur Turso-Bugs, sondern über 10 Fehler in SQLite selbst.
- KI-Slop-Beispiele: manuell injizierte Garbage-Bytes, 'arbitrary SQL execution' als Vulnerability, SQLite-Inkompatibilität mit Turso-Features als Bug deklariert.
- Turso testet mit Fuzzern, Concurrency-Simulator, Differential-Testing gegen SQLite und Antithesis-Runs; Bugs >1 GB Datenbankgröße entgingen dem Simulator durch aggressive Fault-Injection.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.