Node.js is fighting a flood of AI-generated security reports

logickkk11 pts0 comments

Node.js kämpft mit Flut an automatisierten Sicherheitsreports | heise online

heise+ entdecken

SuchenAbo

Suchen

Alle Magazine im Browser lesen<br>AnzeigeSpecial: Collaboration im KI-Zeitalter

Newsletter<br>heise-Bot<br>Push-Nachrichten

${lead}

${lead}

${content}

${content}

${content}

${content}

Anzeige<br>Special: Collaboration im KI-Zeitalter

Anzeige

Anzeige

close notice

This article is also available in<br>English.

It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Das Node.js-Team diskutiert derzeit darüber, den Workflow für die Flut an eingereichten, LLM-generierten Sicherheitsmeldungen zu ändern. Ideen sind, die Meldungen öffentlich zu bearbeiten und mit künstlicher Intelligenz vorzusortieren.

Weiterlesen nach der Anzeige

Das Team hat das Problem jetzt auf die Agenda des nächsten Treffens der Security Working Group am 7. Juli gesetzt. Der Initiator Rafael Gonzaga schreibt, dass alle bisherigen Maßnahmen nicht geholfen haben: „Wir sind nach wie vor überlastet.“

Daher schlägt er vor, die eingereichten Meldungen zu veröffentlichen und als Pull Requests (PR) abzuarbeiten. Bei den Einreichungen handelt es sich oft nur um Bugs, die auch gefixt gehören, aber weniger um wirkliche sicherheitsrelevante Lücken. Außerdem kommen so viele gleichartige Meldungen an, die quasi jeder mit LLM erzeugen kann: „Diese Funde sind praktisch eh schon öffentlich.“ Als PR kann sich die Community darum kümmern und das Kernteam ist entlastet.

Eine Vorsortierung durch KI könnte nur die wirklich ernsthaften Lücken erkennen und nicht öffentlich an das Sicherheitsteam zur Bearbeitung weiterleiten.

Videos by heise

mehr Videos

c't 3003

heise & ct

Peertube

Gegenstimmen geben zu bedenken, dass der Vorschlag die Masse an Sicherheitsreports durch eine Masse an PRs ersetzt, die auch vom Kernteam geprüft werden müssen. Außerdem könnten die veröffentlichten Lücken Hacker anziehen, „als kostenlose Quelle für Ideen für automatisierte Attacken.“ Daher schlagen andere Maintainer vor, nicht die komplette Öffentlichkeit einzubeziehen, aber den Kreis auf alle Mitarbeitenden (collaborators) zu erweitern.

Weiterlesen nach der Anzeige

Kampf gegen den AI-Slop

Wie viele andere Projekte kämpft Node.js mit AI Slop und hat im April bereits das Bug-Bounty-Programm zur Belohnung von Warnungen gestrichen. Auch zu solchen Maßnahmen waren andere Projekte bereits gezwungen. Das hat laut Gonzaga aber keine Erleichterung gebracht, da es den Einreichenden eher um den Ruhm als Autor auf einer offiziellen CVE-Warnmeldung zu erscheinen geht, als um Geld.

Auch andere Maßnahmen führten nicht zum Erfolg: höhere Hürden bei der Reporting-Plattform HackerOne, engere Relevanzkriterien und automatisiertes Schließen von Reports minderer Qualität. Letzteres hat sogar dazu geführt, dass mehr Meldungen bei der Mutter OpenJS landeten. „Bald wird auch dieses Team überlastet sein“, schließt Gonzaga.

(who)

Dieser Link ist leider nicht mehr gültig.

Links zu verschenkten Artikeln werden ungültig,<br>wenn diese älter als 7 Tage sind oder zu oft aufgerufen wurden.

Sie benötigen ein heise+ Paket, um diesen Artikel zu lesen. Jetzt eine Woche unverbindlich testen – ohne Verpflichtung!

Wochenpass bestellen

Sie haben heise+ bereits abonniert?

Hier anmelden.

Oder benötigen Sie

mehr Informationen zum heise+ Abo

montags und donnerstags - alles von heise developer

E-Mail-Adresse

Jetzt anmelden

Ausführliche Informationen zum Versandverfahren und zu Ihren<br>Widerrufsmöglichkeiten erhalten Sie in unserer<br>Datenschutzerklärung.

Anzeige

Anzeige

10 Gründe für eine neue Firmenhomepage

Themenspecial: Digitale Souveränität

Zu viele Endpoints, zu wenig Überblick?

Sicher verschlüsselte E-Mails aus Deutschland

IT-Störungen proaktiv erkennen

Wahre Datensouveränität beginnt am Blech

Wann sich ein wirkungsvoller Solarspeicher lohnt

Wie KI den Beschäftigten im Krankenhaus hilft

Multi-Faktor-Authentifizierung beim Windows-Login

Gesünder leben beginnt am Handgelenk

Immer informiert bleiben: Klicken Sie auf das Plus-Symbol an einem Thema, um diesem zu folgen. Wir zeigen Ihnen alle neuen Inhalte zu Ihren Themen.

Mehr erfahren.

Automatisierung

laden...

Thema gefolgt<br>Thema folgen<br>Entfolgen

IT

laden...

Thema gefolgt<br>Thema folgen<br>Entfolgen

Künstliche Intelligenz

laden...

Thema gefolgt<br>Thema folgen<br>Entfolgen

Open Source

laden...

Thema gefolgt<br>Thema folgen<br>Entfolgen

Sicherheitslücken

laden...

Thema gefolgt<br>Thema folgen<br>Entfolgen

Forum bei heise online:<br>Projektmanagement

Kurzlink:

https://heise.de/-11355142

Anzeige

Anzeige

Newsletter

heise-Bot

heise-Bot

Push Nachrichten

Push

Push-Nachrichten

kopieren

heise+ ab 2,99 € pro Woche lesenJetzt heise+ entdecken – ab 2,99 € pro Woche<br>Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu unseren Magazin-Inhalten erhalten Sie damit weitere exklusive Tests, Ratgeber und Hintergründe.Mit heise+ lesen Sie alle Inhalte auf heise online. Zusätzlich zu...

heise thema anzeige alle folgen nicht

Related Articles