Sechs große Technologieunternehmen, darunter Anthropic, AWS, GitHub, Google, Microsoft und OpenAI, haben kürzlich gemeinsam insgesamt 12,5 Millionen US-Dollar an Fördermitteln für Projekte im Zusammenhang mit der Linux Foundation bereitgestellt, um Projektbetreuern für freie und Open-Source-Software (FOSS) dabei zu helfen, mit dem Druck „wassergefüllter“ Sicherheitslückenberichte zurechtzukommen, die von Tools der künstlichen Intelligenz generiert werden.

Die Linux Foundation wies in der Ankündigung darauf hin, dass die KI-Technologie angesichts der zunehmenden Komplexität der Sicherheitslage die Geschwindigkeit und den Umfang der Schwachstellenerkennung in Open-Source-Software deutlich erhöht. Betreuer sind mit einer beispiellos großen Anzahl von Rückmeldungen zu Sicherheitsproblemen konfrontiert, von denen ein beträchtlicher Teil von automatisierten Systemen generiert wird, denen jedoch die entsprechenden Ressourcen und Tools fehlen, um sie effektiv zu klassifizieren, zu überprüfen und zu reparieren.

Die Mittel werden zur Unterstützung des Alpha-Omega-Projekts der Linux Foundation verwendet, das sich auf die Sicherheit der Open-Source-Lieferkette konzentriert, und zur gemeinsamen Förderung eines neuen Plans mit der Open Source Security Foundation (OpenSSF). Berichten zufolge werden die beiden Organisationen direkt mit Projektbetreuern und ihren Communities zusammenarbeiten, um neue Sicherheitsfunktionen zugänglicher, bedienbarer und in bestehende Projektabläufe zu integrieren. Gleichzeitig werden nachhaltige Strategien erforscht, die nicht nur den wachsenden Sicherheitsdruck auf Betreuer verringern, sondern auch die Widerstandsfähigkeit des gesamten Open-Source-Ökosystems verbessern.

Greg Kroah-Hartman, Hauptbetreuer des Linux-Kernel-Projekts, gab in von der Stiftung veröffentlichten Kommentaren zu, dass Finanzierung allein nicht alle Probleme lösen kann, die KI-Tools für Open-Source-Sicherheitsteams mit sich bringen, betonte aber auch, dass OpenSSF bereits über die entsprechenden Tools verfüge.RessourceBetreuer, die mit KI-generierten Sicherheitsberichten überfordert sind, können durch mehrere Projekte unterstützt werden und solche Berichte können effizienter klassifiziert und verarbeitet werden.

Die Linux Foundation hat jedoch noch keine weiteren Details zum konkreten technischen Weg, den Implementierungsmethoden und dem Zeitplan dieses neuen Plans bekannt gegeben.

Es ist kein neues Problem, dass KI-generierte Schwachstellenberichte die Energie der Betreuer beanspruchen. Bereits Ende 2024 beklagte die Python Software Foundation öffentlich eine ähnliche Situation. Seitdem haben die Betreuer des weit verbreiteten Open-Source-Datenübertragungstools cURL auch die Beendigung des Bug-Bounty-Programms des Projekts angekündigt, da sie mit der großen Anzahl an KI-generierten Einsendungen und Rückmeldungen nicht mehr zurechtkamen.

Sogar GitHub, das mit Microsoft verbunden ist, hat begonnen, ernsthaft darüber nachzudenken, wie man mit dem Zustrom von KI-generierten Beiträgen und Pull-Requests von besorgniserregender Qualität umgehen soll, und prüft die Einrichtung einer Art „Notbrems“-Mechanismus, um zu verhindern, dass solcher Lärm den normalen Open-Source-Zusammenarbeitsprozess übertönt.