Nextcloud stopt met bugbountyprogramma door AI-slop

In dit artikel:

Nextcloud stopt per 22 april tijdelijk met het uitkeren van financiële beloningen in zijn bugbountyprogramma omdat een groot deel van de binnenkomende rapporten volledig door AI gegenereerd en van lage kwaliteit is. Het bedrijf ontvangt via platforms zoals HackerOne steeds meer generieke, vaak onbruikbare beveiligingsmeldingen, waardoor het beoordelen van validiteit en prioriteit onhoudbaar veel tijd kost.

Medeoprichter Jos Poortvliet zegt dat het aantal AI‑gegenereerde reports de afgelopen maanden explosief is toegenomen; de ontwikkelteams besteden nu twintig tot dertig keer meer tijd aan het verwerken van meldingen, veelal dubbel, ongeldig of onzin. Eerdere tegenmaatregelen — zoals het vragen om screenshots of video's als bewijs — boden geen oplossing omdat ook die bewijsstukken door AI konden worden nagemaakt.

HackerOne is geïnformeerd over de beslissing. Nextcloud verwacht dat bugbountyplatforms en de open source‑gemeenschap zelf naar technische en procedurele maatregelen moeten zoeken om deze “AI‑slop” te bestrijden, omdat het huidige volume de workflow en het businessmodel aantast. Nextcloud is niet alleen: ook andere projecten, zoals curl, hebben eerder soortgelijke maatregelen genomen vanwege hetzelfde probleem.