KI-Slop flutet Bug-Bounty-Programme – Curl und Nextcloud pausieren
Bug-Bounty-Plattformen geraten durch KI-generierte Massenberichte zunehmend unter Druck. Bugcrowd, dessen Kundenliste OpenAI, T-Mobile und Motorola umfasst, meldete im März eine Vervierfachung der eingehenden Reports innerhalb von drei Wochen – der Großteil stellte sich als falsch heraus. Das Open-Source-Projekt Curl suspendierte sein bezahltes Programm im Januar wegen einer „Explosion an KI-Slop-Reports". Nextcloud folgte im April aus demselben Grund. Sophos-CISO Ross McKerchar unterscheidet drei Gruppen problematischer Einsender: unerfahrene Amateure, bestehende Forscher die von KI-Agenten fehlgeleitet werden, und erfahrene Entwickler automatisierter End-to-End-Scanning-Systeme. HackerOne verzeichnete im Jahresvergleich bis März ein Plus von 76 Prozent bei Einsendungen, während der Anteil valider Schwachstellen-Reports bei konstant 25 Prozent blieb. Die Plattform führte neue „agentic validation capabilities" ein. Anthropics im April gestartetes Cyber-KI-Modell Mythos, das Sicherheitslücken schneller als Menschen finden soll, dürfte das Volumen weiter steigen lassen. Googles Bug-Bounty-Programm schüttete zuletzt 17 Millionen Dollar jährlich aus – die höchste Einzelprämie betrug 605.000 Dollar für eine Android-Schwachstelle im Jahr 2022.
- Bugcrowd: Reports vervierfachten sich in einer einzigen Drei-Wochen-Periode im März 2026.
- Curl-Entwickler Daniel Stenberg beschreibt den 'never-ending slop' als 'serious mental toll'.
- HackerOne bedient Goldman Sachs, Google und das US-Verteidigungsministerium; Submissions +76 % (Jahresvergleich bis März).
- Anthropic lancierte im April 2026 'Mythos', ein Cyber-KI-Modell zur beschleunigten Schwachstellensuche.
- Google zahlte 2022 die bislang höchste Einzelprämie: 605.000 Dollar für eine Android-Lücke.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- MEINUNGsimonwillison.net1d
KI-Sicherheitsberichte überfluten curl-Projekt mit 4–5× höherem Tempo als 2024
- MEINUNGturso.tech1w
Turso beendet Bug-Bounty-Programm wegen KI-generierten Spam-Einreichungen
- MEINUNGthe-decoder.com2w
KI wandelt Patches in funktionierende Exploits um – 90-Tage-Disclosure-Fenster unter Druck
- FORSCHUNGarxiv.org13h
Studie: 76 Schadpayloads in KI-Agenten-Skill-Marktplätzen entdeckt
KI-Slop flutet Bug-Bounty-Programme – Curl und Nextcloud pausieren
Bug-Bounty-Plattformen geraten durch KI-generierte Massenberichte zunehmend unter Druck. Bugcrowd, dessen Kundenliste OpenAI, T-Mobile und Motorola umfasst, meldete im März eine Vervierfachung der eingehenden Reports innerhalb von drei Wochen – der Großteil stellte sich als falsch heraus. Das Open-Source-Projekt Curl suspendierte sein bezahltes Programm im Januar wegen einer „Explosion an KI-Slop-Reports". Nextcloud folgte im April aus demselben Grund. Sophos-CISO Ross McKerchar unterscheidet drei Gruppen problematischer Einsender: unerfahrene Amateure, bestehende Forscher die von KI-Agenten fehlgeleitet werden, und erfahrene Entwickler automatisierter End-to-End-Scanning-Systeme. HackerOne verzeichnete im Jahresvergleich bis März ein Plus von 76 Prozent bei Einsendungen, während der Anteil valider Schwachstellen-Reports bei konstant 25 Prozent blieb. Die Plattform führte neue „agentic validation capabilities" ein. Anthropics im April gestartetes Cyber-KI-Modell Mythos, das Sicherheitslücken schneller als Menschen finden soll, dürfte das Volumen weiter steigen lassen. Googles Bug-Bounty-Programm schüttete zuletzt 17 Millionen Dollar jährlich aus – die höchste Einzelprämie betrug 605.000 Dollar für eine Android-Schwachstelle im Jahr 2022.
- Bugcrowd: Reports vervierfachten sich in einer einzigen Drei-Wochen-Periode im März 2026.
- Curl-Entwickler Daniel Stenberg beschreibt den 'never-ending slop' als 'serious mental toll'.
- HackerOne bedient Goldman Sachs, Google und das US-Verteidigungsministerium; Submissions +76 % (Jahresvergleich bis März).
- Anthropic lancierte im April 2026 'Mythos', ein Cyber-KI-Modell zur beschleunigten Schwachstellensuche.
- Google zahlte 2022 die bislang höchste Einzelprämie: 605.000 Dollar für eine Android-Lücke.
Frag die KI zum Artikel
Folgefragen zu Headline, Quelle und Volltext — Antwort streamt in wenigen Sekunden.
Verwandte Beiträge
- MEINUNGsimonwillison.net1d
KI-Sicherheitsberichte überfluten curl-Projekt mit 4–5× höherem Tempo als 2024
- MEINUNGturso.tech1w
Turso beendet Bug-Bounty-Programm wegen KI-generierten Spam-Einreichungen
- MEINUNGthe-decoder.com2w
KI wandelt Patches in funktionierende Exploits um – 90-Tage-Disclosure-Fenster unter Druck
- FORSCHUNGarxiv.org13h
Studie: 76 Schadpayloads in KI-Agenten-Skill-Marktplätzen entdeckt