Mehrere Sicherheitsfachleute werteten die Ankündigungen als bedeutsam, aber angesichts des rasanten Wachstums KI-gestützter Schwachstellensuche nicht als überraschend.
Ensar Seker, Chief Information Security Officer bei SOCRadar, bezeichnete den Schritt als rationale, womöglich überfällige Korrektur im Umgang von Bug-Bounty-Ökosystemen mit dem Druck durch KI. HackerOne erkenne damit an, dass sich der Engpass verschoben habe: Die Entdeckung sei durch KI industrialisiert worden, die Behebungskapazität jedoch nicht entsprechend mitgewachsen. Wenn KI binnen Stunden Tausende Funde geringer bis mittlerer Qualität erzeugen könne, würden die oft ehrenamtlich und mit begrenzten Mitteln arbeitenden Projektbetreuer leicht überfordert. Es handle sich daher nicht um einen Rückzug aus der Sicherheit, sondern um den Versuch, das Verhältnis von Signal zu Rauschen neu auszutarieren.
John Morello, Mitgründer und CTO von Minimus, berichtet, der Anteil gültiger Einreichungen sei von rund 15 Prozent auf unter 5 Prozent gefallen, während KI-generierter „Müll" die Eingänge flute. Die KI-gestützte Suche habe nicht zwangsläufig mehr kritische Zero-Days gefunden, sondern den Engpass vollständig auf die Validierung verlagert: Triage-Teams müssten sich durch Tausende plausibel klingende, aber nicht ausnutzbare Meldungen arbeiten.
Für Projektbetreuer sei „Triage-Müdigkeit" zur größten Herausforderung geworden; sie verlören Entwicklungszeit allein dafür, halluzinierte Schwachstellen zu widerlegen. Das derzeitige Bounty-Modell belohne Quantität statt Tiefe und zwinge kleine Teams faktisch dazu, als kostenlose Qualitätssicherung für jeden automatisierten Scanner zu fungieren, so Morello.
HackerOne erklärte, der Fokus liege nun darauf, neue Wege zu finden, um das ursprüngliche Ziel zu erreichen: Schwachstellensuche und wirksame Behebung so zusammenzuführen, dass bedeutsame Funde zu dauerhaften Sicherheitsverbesserungen in Open-Source-Projekten führten. Dazu wolle man gemeinsam mit Projektbetreuern und Forschern Ansätze prüfen, die Anreize besser an die Realität des Ökosystems anpassen.
Trey Ford, Chief Strategy and Trust Officer bei Bugcrowd, das ebenfalls eine Crowdsourcing-Plattform betreibt, sieht in der Entscheidung ein Weckruf-Signal. Die Branche habe jahrelang das falsche Ende der Kette optimiert. KI habe genau das geleistet, wofür sie gedacht sei, nämlich die zum Auffinden von Schwachstellen nötige Zeit zu verkürzen. Ungelöst sei die menschliche Seite: der Betreuer, der 40 gültige Meldungen erhalte und ein Wochenende Zeit habe, zu reagieren.
Nötig seien nun ebenso dringende Investitionen in die Behebungskapazität wie zuvor in die Entdeckung. Reine Menge sei für Forscher kein Wettbewerbsvorteil mehr; der Wert verlagere sich zu komplexen Logikfehlern und neuartigen Angriffsketten, die menschliche Tiefe und Kontextverständnis erforderten. Künftige Programme könnten Forschern Boni für mitgelieferte Korrekturen zahlen und gemeinsame Töpfe schaffen, die sowohl den Finder als auch das Betreuerteam finanzieren, das den Patch ausliefert.
Die Behebung ist nicht das einzige Problem. David Hayes, VP of Product bei FusionAuth, weist darauf hin, dass auf menschliches Forschungstempo ausgelegte Bug-Bounty-Programme schneller Mittel verbrauchen als erwartet. Das Modell sei in seiner jetzigen Form nicht tragfähig. Bounties seien für eine Welt entworfen worden, in der die Entdeckung der Engpass war; nun sei es die Behebung, die durch Bounties nicht finanziert werde. Die Branche müsse herausfinden, wie sich nicht nur das Finden, sondern auch das Beheben finanzieren lasse.
