Das Open-Source-Projekt curl nimmt den ganzen Juli 2026 keine Schwachstellenmeldungen mehr an. Der Grund: eine Flut KI-generierter Bug-Reports – inzwischen alle 18 Stunden einer statt früher einer pro Woche. Andere Projekte wie libexpat schliessen sich der Pause an.
Kostenloses Erstgespräch — herstellerneutral, direkt aus dem Rheintal.
KI findet mühelos Sicherheitslücken – doch die Prüf-Last erschöpft die freiwilligen Maintainer, die fast das ganze Internet tragen.
Es klingt wie eine Abwesenheitsnotiz aus dem Sommerurlaub – nur dass sie eines der wichtigsten Stücke Software des Internets betrifft. Daniel Stenberg, Erfinder und Chef-Maintainer von curl, hat den ganzen Juli 2026 zur sicherheitsfreien Zone erklärt. Zwischen dem 1. Juli und dem 3. August nimmt das Projekt keine einzige Schwachstellenmeldung mehr an. Stenberg nennt es den «summer of bliss» – den Sommer der Glückseligkeit. Der Grund ist alles andere als glückselig: Die Maintainer sind erschöpft von einer Flut KI-generierter Bug-Reports.
curl steckt in Milliarden von Geräten und Apps und ist eines der meistgenutzten Werkzeuge, um Daten übers Netz zu transferieren. Wenn ein solches Projekt für einen Monat die Security-Klappe zumacht, ist das keine Kleinigkeit – sondern ein Alarmsignal.
Rechne kurz mit: In der Zeit vor der KI bekam curl ungefähr einen Sicherheitsreport pro Woche. Ein bis anderthalb Stunden Prüfung, erledigt. 2025 hatte sich die Rate auf einen Report alle 48 Stunden mehr als verdoppelt. Und Anfang Juni 2026? «Ich glaube, es sind 18 Stunden zwischen jedem Report», sagte Stenberg auf der bSides-Vilnius-Konferenz. Mehr als eine Meldung pro Tag – jede mit ein paar Stunden Prüfaufwand. Für ein Projekt, das im Kern von Freiwilligen getragen wird, ist diese Rechnung schlicht nicht aufzulösen.
Das Perfide daran: Die Reports sind besser geworden. 2025 war die Mehrheit noch «AI slop» – halluzinierte Funktionen, erfundene APIs, selbstbewusst formulierter Unsinn. Eine Stunde Arbeit, nur um einen 400-Zeilen-Report zu widerlegen. 2026 haben die Modelle aufgeholt: Die Meldungen sind technisch akkurater. Doch das entlastet niemanden. KI ist exzellent darin, Auffälligkeiten zu finden – aber schlecht darin, deren Schwere einzuschätzen oder einen sauberen Fix zu schreiben. Genau diese Bewertungsarbeit bleibt am Menschen hängen. Dazu kommen Duplikate: Verschiedene Leute fragen dieselbe KI, bekommen dieselbe Antwort und reichen alle denselben «Fund» ein.
«Die Bösen machen keine Pause. Aber wir schon.»
curl hatte sein Bug-Bounty-Programm über die Plattform HackerOne (wo Sicherheitsforscher gegen Prämien Lücken melden) bereits im Februar 2026 komplett dichtgemacht, einen Monat später wieder geöffnet – und ertrinkt seither trotzdem. Der «summer of bliss» ist die nächste Eskalationsstufe. Kritische Notfälle werden zwar weiter behandelt, und wer einen bezahlten Support-Vertrag hat, bekommt vollen Service. Alle anderen: bitte im August wiederkommen. Als Nebeneffekt verschiebt sich die Freigabe von curl 8.22.0 um zwei Wochen auf den 2. September.
Stenberg ruft andere Projekte ausdrücklich dazu auf, es ihm gleichzutun und die eigene Gesundheit über die Report-Flut zu stellen. Erste folgen bereits: Sebastian Pipping, Maintainer des weit verbreiteten XML-Parsers libexpat, pausiert neue Schwachstellenmeldungen bis zum 1. August und arbeitet stattdessen an bekannten, noch offenen Lücken.
Die Kehrseite: KI ist für die Open-Source-Sicherheit nicht nur Fluch. Stenberg selbst schreibt KI-gestützten Werkzeugen zu, geholfen zu haben, über 100 Bugs in curl zu beheben. Anthropic setzte sein Modell Claude ein, um mehr als 500 hochkritische Zero-Day-Lücken in Open-Source-Projekten aufzuspüren. Und GitHub verarbeitete zwischen März und Mai 2026 über 6'000 Advisory-Entscheide pro Monat – die schiere Menge zeigt, wie sehr KI das Bug-Hunting industrialisiert hat. Auch Initiativen wie OpenAIs «Patch the Planet» versuchen, die Fix-Seite zu stärken.
Was das für dich bedeutet: Fast jede App, die du nutzt, hängt an unbezahlten Freiwilligen wie Stenberg. Die eigentliche Frage der KI-Ära lautet nicht, ob Maschinen genug Lücken finden – das tun sie mühelos. Sondern ob die Menschen am anderen Ende mitkommen. Ein Sommer der Glückseligkeit ist da erst der Anfang.