NERDMANKI-Spam killt Nextclouds Bug-Bounty-Programm
Nextcloud zahlt keine Prämien mehr für gemeldete Sicherheitslücken. Der Grund: KI-generierter Müll flutet das System.
Was passiert ist
Sicherheitsforscher, die echte Bugs in Nextcloud finden, bekommen ab sofort keinen Cent mehr. Das Bug-Bounty-Programm existiert zwar noch — aber ohne Bounty. Wer Lücken meldet, tut das jetzt ehrenamtlich.
Warum? KI-Schrott in der Inbox
Seit Monate pumpen Trittbrettfahrer mit ChatGPT & Co. automatisch generierte Bug-Reports in das System. Die Reports klingen professionell, sind aber wertlos. Das Nextcloud-Team verbrennt seine Zeit mit dem Aussortieren von Fake-Meldungen statt mit echtem Bugfixing.
Zahlenbox
- 0 €** — neue Prämie für gemeldete Sicherheitslücken
- 100%** — der Aufwand für Müll-Sortierung, den KI-Reports verursachen
- 2. Programm** — das wegen KI-Spam kapituliert (nach curl im März)
Das Muster wiederholt sich
Nextcloud ist nicht allein. Auch das curl-Projekt hat kürzlich sein Bug-Bounty-Programm eingeschränkt — gleicher Grund. KI-Tools machen es kinderleicht, halbwegs plausibel klingende Vulnerability-Reports zu generieren. Masse statt Klasse. Die Absender hoffen auf schnelles Geld, ohne echte Arbeit zu leisten.
💡 Was das bedeutet
Open-Source-Projekte verlieren ein wichtiges Sicherheitsnetz. Bug Bounties haben jahrelang funktioniert, weil der Deal fair war: Du findest einen echten Bug, du kriegst Geld. Jetzt zerstören KI-Spammer diesen Deal — und die echten Sicherheitsforscher zahlen den Preis. Weniger Anreiz heißt weniger gefundene Lücken. Weniger gefundene Lücken heißt mehr Risiko für Millionen Nextcloud-Nutzer.
Pro (Nextclouds Entscheidung)
- Team kann sich wieder auf Entwicklung konzentrieren
- Kein Geld mehr für Fake-Finder
❌ Con
- Echte Sicherheitsforscher haben keinen finanziellen Anreiz mehr
- Kritische Lücken bleiben möglicherweise länger unentdeckt
- Open Source wird unsicherer, weil KI-Spammer alles kaputt machen