Drei der bekanntesten Open-Source-Maintainer berichten uebereinstimmend: AI-generierte Security-Reports haben sich innerhalb weniger Wochen von laestigem Spam zu ernsthafter Arbeitslast entwickelt.

Die Stimmen

Greg Kroah-Hartman (Linux-Kernel-Maintainer):

"Months ago, we were getting what we called 'AI slop,' AI-generated security reports that were obviously wrong or low quality. It was kind of funny. Something happened a month ago, and the world switched. Now we have real reports."

Willy Tarreau (Kernel Security List): Die Meldungen stiegen von 2-3 pro Woche vor zwei Jahren auf rund 10 pro Woche im letzten Jahr (alles AI-Slop), und seit Jahresbeginn 2026 auf 5-10 pro Tag. Der Unterschied: Die meisten Reports sind jetzt korrekt. Erstmals treten auch Duplikate auf -- derselbe Bug, gefunden von verschiedenen Personen mit vermutlich demselben AI-Tool.

Daniel Stenberg (cURL):

"The challenge with AI in open source security has transitioned from an AI slop tsunami into more of a plain security report tsunami. Less slop but lots of reports. Many of them really good. I'm spending hours per day on this now."

Was das bedeutet

Die Entwicklung hat zwei Seiten:

1. Positiv: AI-Tools finden echte Sicherheitsluecken in kritischer Infrastruktur-Software, die jahrelang unentdeckt blieben. Die Kernel-Security-Liste musste bereits zusaetzliche Maintainer einbeziehen, um die Menge zu bewaeltigen.

2. Problematisch: Die schiere Menge ueberfordert die ehrenamtlichen Maintainer. Daniel Stenberg verbringt bereits Stunden pro Tag nur mit der Sichtung. Dazu kommen Duplikate, weil mehrere Personen unabhaengig voneinander dieselben AI-Tools auf dieselben Codebasen loslassen.

Fuer die Qualitaet von Open-Source-Software ist das ein Netto-Gewinn. Fuer die Nachhaltigkeit der Maintainer-Arbeit koennte es zum naechsten Burnout-Faktor werden.

Ptaceks These: Vulnerability Research ist "cooked"

Security-Experte Thomas Ptacek geht noch weiter. In einem viel beachteten Beitrag argumentiert er, dass Coding-Agenten die Praxis und Oekonomie der Exploit-Entwicklung innerhalb von Monaten fundamental veraendern werden -- nicht graduell, sondern als Stufenfunktion.

Warum Agenten so gut darin sind: 1. Eingebautes Wissen: Frontier-Modelle haben Korrelationen ueber riesige Codemengen verinnerlicht und kennen Subsystem-Beziehungen und Bug-Patterns. 2. Komplette Bug-Bibliothek: Stale Pointers, Integer Errors, Type Confusion, Exploitation-Techniken -- alles in den Weights. 3. Unendliche Ausdauer: "An agent never gets bored and will search forever if you tell it to."

Ptaceks Prognose: "Substantial amounts of high-impact vulnerability research (maybe even most of it) will happen simply by pointing an agent at a source tree and typing 'find me zero days'."

Das erklaert auch die Duplikate, die Tarreau beobachtet: Wenn mehrere Personen denselben Agenten auf denselben Code ansetzen, finden sie dieselben Bugs.

Quellen

• Simon Willison: Quoting Greg Kroah-Hartman
• Simon Willison: Quoting Daniel Stenberg
• Simon Willison: Quoting Willy Tarreau
• Simon Willison: Vulnerability Research Is Cooked