Für das weitverbreitete Download-Tool curl sollen im Sommer für mehr als einen Monat keine Berichte zu Sicherheitslücken angenommen oder bearbeitet werden. Das hat der Maintainer Daniel Stenberg in einem Blogeintrag publik gemacht und nennt das „curls Sommer voller Glückseligkeit“. Der soll demnach vom 1. Juli (0 Uhr MESZ) bis zum 3. August (9 Uhr MESZ) gelten und nicht nur für das Bug-Bounty-Programm auf HackerOne gelten, sondern auch die projekteigene E-Mail-Adresse – über die aber sowieso keine Reports akzeptiert würden: „Jedes Problem, das ihr dem curl-Projekt in diesem Monat melden wollt, muss warten“, schreibt Stenberg. Er und die Betreuer wollen in der Zeit „tief durchatmen und den Sommer genießen“. Vielleicht werde man öfter draußen spazieren gehen oder andere Orte erkunden.
Mit dem Schritt ziehen Stenberg und sein Team Konsequenzen aus der enorm gestiegenen Arbeitslast, für die KI-Werkzeuge verantwortlich sind. Die sorgen seit einer Weile für einen drastischen Anstieg bei der Zahl der gemeldeten Sicherheitslücken. Auch wenn viel davon KI-generiert ist, handelt es sich nicht um offensichtlichen Unsinn, die Reports sind detailliert und ausführlich. Stenberg muss inzwischen vier- bis fünfmal so viele Sicherheitsmeldungen prüfen wie noch 2024 und dabei geht mit jeder einzelnen ein enormer Aufwand daher. Den nicht tragbaren Zustand hat er in diesem Jahr schon mehrfach öffentlich beklagt, eine Lösung ist aber nicht in Sicht. Mit „curls Sommer voller Glückseligkeit“ zieht er jetzt die Reißleine und sorgt dafür, dass er und die Betreuer endlich die nötige Erholung bekommen.
Zu wenige Geldgeber
In seinem Blogeintrag versichert Stenberg aber, dass Kundschaft mit einem kostenpflichtigen Supportvertrag auch im Juli betreut werde. Damit verweist er auf einen weiteren Kritikpunkt, denn obwohl curl oder libcurl von Unternehmen in dutzenden Milliarden Geräten eingesetzt wird, ist die Zahl der Geldgeber extrem überschaubar. Erst im Mai hat der Entwickler erklärt, dass er sich mehr finanzielle Unterstützung wünschen würde, diesbezüglich aber pessimistisch sei. Dem „Tsunami“ an Bug-Reports steht man bei curl deshalb weitestgehend alleine gegenüber. Ähnliche Klagen gab es zuletzt auch von vergleichbaren Projekten, deren Ressourcen ihrer Bedeutung für die globale IT-Infrastruktur nicht einmal ansatzweise entsprechen.
Die Ankündigung, dass curl nur noch zwei Wochen lang Sicherheitsmeldungen annehmen und bearbeiten will, erfolgt jetzt kurz nach einer drastischen Entscheidung von Anthropic. Das KI-Unternehmen, dessen besonders leistungsfähiges KI-Modell Mythos einen erheblichen Anteil an der stark gewachsenen Zahl gefundener Sicherheitslücken haben soll, hat den Zugriff darauf am Wochenende deutlich eingeschränkt. Die Hintergründe sind bislang nicht ganz klar. Ob die Zahl von Bug-Reports dadurch erst einmal wieder sinkt, ist unklar. Bei curl selbst soll das KI-Modell sowieso nur eine einzige Lücke gefunden haben, hat Stenberg vor einem Monat publik gemacht.
(mho)
English (US) ·