{"id":15733,"date":"2025-11-04T00:00:48","date_gmt":"2025-11-03T22:00:48","guid":{"rendered":"https:\/\/u-labs.de\/portal\/?p=15733"},"modified":"2025-11-04T00:00:49","modified_gmt":"2025-11-03T22:00:49","slug":"ki-zerstoert-oss","status":"publish","type":"post","link":"https:\/\/u-labs.de\/portal\/ki-zerstoert-oss\/","title":{"rendered":"„K\u00fcnstliche Intelligenz“ zerst\u00f6rt quelloffene Software"},"content":{"rendered":"

Abseits der „KI wird uns alle t\u00f6ten“ Panikmache verursacht die Technik durchaus zunehmend reale Probleme. Und die sind so gar nicht intelligent: Open Source Projekte werden mit k\u00fcnstlich generierten Bugmeldungen geflutet. Das ist ein ernstes Problem, weil diese plausibel wirken – aber sich nach \u00dcberpr\u00fcfung nahezu immer als Bullshit entlarven. Doch gerade durch diese geschickte Tarnung verschwenden sie menschlichen Entwicklern viel Zeit. Eine zus\u00e4tzliche Belastung f\u00fcr Menschen, die oft neben ihrer Lohnarbeit in der Freizeit an quelloffener Software arbeiten. Deren Ressourcen waren bereits vor der „KI“ Welle oft sp\u00e4rlich bis unterbesetzt.<\/p>\n

Ein bekanntes Beispiel daf\u00fcr ist die Bibliothek Curl. Von 2023 – 2025 hat sich der „KI“ M\u00fcll unter den Meldungen von Sicherheitsl\u00fccken massiv erh\u00f6ht. Wird dagegen nichts unternommen, kann die Technologie die gesamte OS-Branche in den Abgrund st\u00fcrzen. Dies w\u00e4re in vielerlei Hinsicht verheerend. L\u00e4ngst ist OSS das R\u00fcckgrat der modernen Welt. Es ist daher h\u00f6chste Zeit, dieses Problem im folgenden Artikel genauer zu betrachten.<\/p>\n

FOSS: Das Fundament unserer (digitalen) Welt<\/h2>\n

Freie und quelloffene Software (kurz FOSS) sind ein Grundpfeiler unserer gesamten digitalen Infrastruktur: Internet, Smartphone, Clouddienste, usw. Selbst in propriet\u00e4rer Software haben beide Omnipr\u00e4senz. Eine aktuelle Studie stellte fest, dass quelloffene Software in 96% aller Codebasen enthalten ist.1<\/a><\/sup> Manche kommerzielle Software kombiniert lediglich OSS, um diese zu verkaufen.<\/p>\n

Da OSS oft frei verf\u00fcgbar ist, kann man ihren finanziellen Wert nur schwer messen. Die Studie versucht es mit zwei Kennzahlen:<\/p>\n

    \n
  1. Dem Angebotswert – was w\u00fcrde es kosten, alle verbreiteten OSS-Projekte neu zu entwickeln?<\/li>\n
  2. Nachfragewert – was w\u00fcrde es kosten, wenn alle Unternehmen mit OSS-Nutzung diese Software selbst auf eigene Rechnung entwickeln w\u00fcrde?<\/li>\n<\/ol>\n

    Der Angebotswert wurde auf 4,15 Milliarden US-Dollar beziffert. Wie zu erwarten, liegt der Nachfragewert mit 8,8 Milliarden US-Dollar weit dar\u00fcber. Schlie\u00dflich w\u00fcrde man beim Angebotswert weiterhin g\u00e4ngige Bibliotheken gemeinsam nutzen. Der Nachfragewert wiederum f\u00fchrt zu Silos, in denen jeder das Rad buchst\u00e4blich neu erfinden m\u00fcsste. Es liegt auf der Hand, dass s\u00e4mtliche Software ohne OSS massiv teurer w\u00e4re – und die Entwicklung deutlich l\u00e4nger dauern w\u00fcrde. Betroffen w\u00e4ren nahezu s\u00e4mtliche Bereiche unseres Alltags. In nahezu jedem modernen Ger\u00e4t steckt Software.<\/p>\n

    So funktioniert das wichtige FOSS \u00d6kosystem<\/h2>\n

    Freie & quelloffene Software sind nicht identisch, verf\u00fcgen jedoch \u00fcber viele Gemeinsamkeiten. Einer davon ist die gemeinschaftliche Entwicklung: Es bildet sich eine Community aus verschiedenen Personen, die ihren Beitrag zum jeweiligen Projekt leisten. Es herrscht Transparenz zur F\u00f6rderung von Innovation & Unabh\u00e4ngigkeit.<\/p>\n

    Doch FOSS ist mehr als nur Programmcode. Neben Softwareentwicklern gibt es verschiedene Rollen, wie beispielsweise Tester oder Autoren der Anwenderdokumentation. Anders als bei kommerzieller Software stehen oft keine gro\u00dfen Teams mit festen Budgets hinter den Projekten. Viele arbeiten in ihrer Freizeit unentgeltlich an Wartung, Unterst\u00fctzung und der Weiterentwicklung.<\/p>\n

    Ein wichtiger Bestandteil sind R\u00fcckmeldungen der Nutzer. Neben W\u00fcnschen zu \u00c4nderungen und neuen Funktionen melden sie auch Fehler (Bugs). Besonders kritisch wird es, wenn diese Fehler zu Sicherheitsl\u00fccken f\u00fchren. Dabei k\u00f6nnen Systeme sowie Nutzerdaten gef\u00e4hrdet sein – daher ist schnelles, strukturiertes Handeln erforderlich. \u00dcblicherweise priorisieren Softwareprojekte gemeldete Sicherheitsl\u00fccken h\u00f6her. Teils werden sie auch an Wochenenden\/Feiertagen abgearbeitet, um so schnell wie m\u00f6glich reagieren zu k\u00f6nnen. Zumindest, wenn die Projekte sich das leisten k\u00f6nnen.<\/p>\n

    \n
    \"\"<\/a><\/figure>\n<\/div>\n

    KI<\/em> als Gegner statt Helfer<\/h2>\n

    In den letzten Jahren haben automatisierte Tools und insbesondere KI\u2011gest\u00fctzte Systeme verst\u00e4rkt Einzug in die Software-Entwicklung gehalten. Auch im Bereich der Sicherheit: Sie sollen dort helfen, Schwachstellen zu finden. Was auf den ersten Blick nach einer gro\u00dfen Chance f\u00fcr freie und quelloffene Software aussieht, entwickelt sich jedoch zunehmend zu einem neuen Risiko. <\/p>\n

    Eine Analyse von \u00fcber 2.000 automatisierten Meldungen in \u00f6ffentlichen GitHub OS-Projekten ergab, dass in lediglich etwa 180 F\u00e4llen von insgesamt 2.116 echte Schwachstellen vorlag. Das entspricht einer Quote von 91% an Fehlalarmen.2<\/a><\/sup> Bei bestimmten Konstellationen (Python\/Flask) von vermeintlichen L\u00fccken ist die Quote mit 99,5% noch gravierender. Alleine hier kam es zu 1.166 Meldungen, von denen nur 6 tats\u00e4chliche Sicherheitsprobleme waren.<\/p>\n

    In einer andern Studie wurden \u00fcber 100 bekannte & verbreitete PHP-Projekte mit \u00fcber 1.000 Sternen auf GitHub untersucht. Zwei Analysewerkezuge fanden \u00fcber 9.200 angebliche schwere Sicherheitsprobleme. Die Forscher pr\u00fcften 30% (\u00fcber 2.700) davon h\u00e4ndisch und fanden lediglich 35 echte Schwachstellen in 14 Anwendungen. Alleine in dieser Teilmenge eine Erfolgsquote von 2% bzw. 98% Fehlalarme<\/strong>.3<\/a><\/sup><\/p>\n

    Kurzum – in diesem Bereich erwies sich „KI“ ebenfalls als extrem unzuverl\u00e4ssig. Es werden lediglich stupide Pr\u00fcfungen ohne Kontext durchgef\u00fchrt. Das gro\u00dfe Problem: Man wei\u00df es vorher nicht. Entwickler m\u00fcssen jede Meldung pr\u00fcfen – und ben\u00f6tigten daf\u00fcr in der ersten Studie durchschnittlich 10 Minuten pro Meldung. Alleine f\u00fcr die rund 1.200 vermeintlichen Python-Funde h\u00e4tte man fast 200 Stunden investieren m\u00fcssen. Nur, f\u00fcr die 6 Nadeln im riesigen Heuhaufen.<\/p>\n

    „KI Bullshit“ hat es auf eines der wichtigsten Projekte abgesehen<\/h2>\n

    Auf das Problem aufmerksam wurde ich \u00fcber das Programm curl. Es handelt sich um eine Software & Bibliothek zur Daten\u00fcbertragung mit verschiedenen g\u00e4ngigen Protokollen – meist HTTP oder FTP. Dort beobachte ich die Zunahme von „KI M\u00fcll“ bereits seit 2024. Erste Hinweise darauf finden sich bereits 2023 auf ihrer Plattform f\u00fcr Sicherheitsl\u00fccken. Die Meldung 2199174 ist ein Paradebeispiel.4<\/a><\/sup> Ein Speicher\u00fcberlauf der Timeout-Variable soll angeblich zur Codeausf\u00fchrung aus der Ferne f\u00fchren. Das w\u00e4re ein Totalschaden.<\/p>\n

    Doch bei der Pr\u00fcfung stellte das Curl-Team fest: Die Meldung scheint aus einer 3 Jahre alten L\u00fccke recycelt<\/em> und weist viele falsche oder erfundene Informationen auf. Ein Beispielcode soll die angebliche L\u00fccke demonstrieren, dieser l\u00e4sst sich nicht einmal kompilieren. Die Antwort des „Finders“ nimmt keinerlei Bezug darauf, sondern enth\u00e4lt nur generische Floskeln.<\/p>\n

    \n
    \"\"<\/a><\/figure>\n<\/div>\n

    Auf \u00e4hnlichem Niveau bewegt sich GitHub-Ticket #12983.5<\/a><\/sup> Dort wird eine angebliche Sicherheitsl\u00fccke \u00f6ffentlich gemeldet – ein v\u00f6lliges NoGo. Schlie\u00dflich kann jeder die L\u00fccke ausnutzen, w\u00e4hrend noch nicht mal ein Update in Arbeit ist. Seit Jahrzehnten lautet die gelebte Praxis, so etwas auf vertraulichen Kan\u00e4len zu melden. Die hat curl mit HackerOne ja. Doch das interessiert die „KI“ Generatoren nicht, denen ohnehin jegliches Verst\u00e4ndnis fehlt. Wenigstens gibt dieses Konto auf Nachfrage zu: Der Fund stammt von ihrem „neuen KI-Basierten Schwachstellenscanner“. Da dieser nicht mal eine konkrete Schwachstelle gefunden hat, sondern lediglich ein m\u00f6glicherweise unsicheres Verhalten, ist auch diese Meldung wertlos.<\/p>\n

    \n
    \"\"<\/a><\/figure>\n<\/div>\n

    Man k\u00f6nnte diese Liste noch ewig weiter f\u00fchren – 34 ausgew\u00e4hlte Beispiele hat Daniel Stenberg in einer Liste gesammelt.6<\/a><\/sup> Ende 2024 wird etwa eine weitere vermeintliche Remote Code Execution L\u00fccke gemeldet.7<\/a><\/sup> Sie macht ein h\u00e4ufiges Muster deutlich: Selbst auf Nachfrage werden keine konkreten Informationen geliefert, wo eine Schwachstelle sein soll. Sondern lediglich l\u00e4ngere, allgemeine, nichts aussagende Texte. Offensichtlich verwenden diese Personen selbst f\u00fcr die Antworten „KI“ – und geben sich keinerlei M\u00fche, die generierten Texte auf Sinnhaftigkeit zu pr\u00fcfen. Jeder Schwachsinn wird hineingekippt.<\/p>\n

    \n
    \"\"<\/a><\/figure>\n<\/div>\n

    „KI“ Textgeneratoren schleimen gerne<\/h2>\n

    Ebenfalls auff\u00e4llig ist die \u00fcbertriebene H\u00f6flichkeit und F\u00f6rmlichkeit. So etwas sieht man etwa in HackerOne-Meldung #2887487.8<\/a><\/sup> Die Antworten beginnen mit Phrasen wie „Thank you for your feedback“ oder enden mit „Thank you for pointing this out, and I appreciate the opportunity to review the tests with better consideration“. Nach solchen generierten Texten schreibt der Ersteller eine anscheinend selbst verfasste Antwort \u00fcber seine Entt\u00e4uschung. Der Projektleiter von curl macht sich die M\u00fche, seine Ablehnung zu begr\u00fcnden. Und weist auf die gro\u00dfe Menge an „KI“ M\u00fcll hin, die er bekommt.<\/p>\n

    \n
    \"\"<\/a><\/figure>\n<\/div>\n

    Typische Muster f\u00fcr KI-M\u00fcll<\/h2>\n

    Bereits diese Beispiele zeigen verschiedene Aspekte, die k\u00fcnstlich generierte „KI“ Meldungen enthalten:<\/p>\n