Open Source ertrinkt in KI-Code: Linux Foundation stellt 12,5 Millionen Dollar bereit
Was in Unternehmen als Workslop begann, erreicht nun die Grundlagen der Open-Source-Infrastruktur. Die Linux Foundation mobilisiert 12,5 Millionen Dollar gegen die Flut KI-generierter Beiträge. Finanziert von genau jenen Unternehmen, die die Code-Generierungs-Tools verkaufen.
Vom Workslop zum Codeslop
Der Begriff Workslop beschreibt KI-generierte Inhalte, die wie produktive Arbeit wirken, aber keine echte Wertschöpfung darstellen: der maschinell aufgeblähte 15-Seiten-Bericht ohne Substanz, die von ChatGPT polierten E-Mails ohne Aussagekraft. Dieses Phänomen hat inzwischen die Unternehmensgrenzen überschritten und erreicht die Fundamente der Software, die täglich millionenfach genutzt wird, ohne dass sich die Anwender dessen bewusst sind.
12,5 Millionen Dollar zur Schadensbegrenzung
Am 18. März kündigte die Linux Foundation ein Programm über 12,5 Millionen Dollar an, das Open-Source-Maintainer vor der Flut KI-generierter Beiträge schützen soll. Das Projekt baut auf den bestehenden Sicherheitsinitiativen Alpha-Omega und OpenSSF auf. Soweit ist die Maßnahme nachvollziehbar. Aufschlussreich wird es bei der Betrachtung der Finanzierungsquellen: Anthropic, AWS, GitHub, Google, Microsoft, OpenAI.
Sechs Unternehmen, die sämtlich Code-Generierungs-Tools entwickeln und vertreiben, finanzieren die Bewältigung der Probleme, die ihre eigenen Produkte verursachen. Die Parallele zu Fast-Food-Konzernen, die Kampagnen gegen Adipositas finanzieren, drängt sich auf. Technisch mag die Initiative vertretbar sein, strukturell bleibt sie widersprüchlich.
Maintainer erreichen die Belastungsgrenze
Um die Dringlichkeit der Situation zu erfassen, lohnt sich der Blick auf konkrete Fälle aus der Praxis.
cURL, die Netzwerkbibliothek, die auf praktisch allen vernetzten Geräten weltweit läuft: Daniel Stenberg, der Urheber, stellte sein Bug-Bounty-Programm im Januar 2026 ein, nachdem über die Jahre 86.000 Dollar an Prämien ausgeschüttet worden waren. Der Grund: 2025 waren 20% der Einreichungen KI-generiert, die Validitätsrate sank auf 5%. Im Januar gingen innerhalb weniger Tage 20 Meldungen ein, sieben davon innerhalb von 16 Stunden. Einige erwähnten tatsächlich existierende Bugs, keine einzige identifizierte jedoch eine echte Sicherheitslücke. Das Signal versank im Rauschen.
Ghostty, das Terminal-Projekt von Mitchell Hashimoto (Mitgründer von HashiCorp): KI-generierter Code ist verboten. Hashimotos Begründung lässt sich auf einen Satz verdichten: „Das ist keine Anti-KI-Position, sondern eine Anti-Dummheit-Position."
tldraw, das kollaborative Zeichenwerkzeug: Steve Ruiz aktivierte das automatische Schließen sämtlicher externer Pull Requests. Eine manuelle Filterung war angesichts des Volumens nicht mehr praktikabel.
Flux CD, das Kubernetes-Deployment-Tool: Stefan Prodan fasst die Lage in fünf Worten zusammen: „KI-Slop führt zu einem Denial-of-Service gegen Open-Source-Maintainer." Das ist keine technische Metapher, sondern die präzise Beschreibung des Vorgangs: Ein Anfragevolumen, das das System lahmlegt.
Die Tragweite für die digitale Infrastruktur
Bei den meisten Maintainern handelt es sich um ehrenamtlich Tätige, die kritische Software in ihrer Freizeit ohne Vergütung pflegen. cURL läuft auf Milliarden Geräten, der Linux-Kernel betreibt die Mehrheit der Webserver, Android-Smartphones und IoT-Geräte. Wenn diese Personen aufgeben, bricht nicht nur ein GitHub-Projekt zusammen, sondern es wird eine tragende Schicht der globalen digitalen Infrastruktur geschwächt.
Die Dominoeffekte sind bereits sichtbar. Stack Overflow verlor in den sechs Monaten nach dem Launch von ChatGPT 25% seiner Aktivität. Bei Tailwind CSS, einem weit verbreiteten Web-Framework, steigen die Download-Zahlen, während der Traffic auf der Dokumentation um 40% zurückgeht und die Einnahmen um 80% einbrechen. Entwickler nutzen den Code, ohne ihn zu verstehen. Wenn er fehlschlägt, öffnen sie ein Ticket. Gentoo Linux und NetBSD haben präventiv KI-generierte Beiträge verboten. Selbst Linus Torvalds musste bei substanzlosen Patches für den Linux-Kernel eingreifen.
Das strukturelle Dilemma
Greg Kroah-Hartman, Maintainer des Linux-Kernels, formulierte die treffendste Einschätzung zu den 12,5 Millionen Dollar: „Finanzielle Zuwendungen allein werden das Problem, das KI-Tools heute verursachen, nicht lösen."
Seine Analyse ist zutreffend. Das Problem ist struktureller Natur. Die Produktionskosten für einen Bug-Report, eine Pull Request oder einen Code-Schnipsel sind auf nahezu null gesunken. Jeder kann ein LLM beauftragen, „Schwachstellen zu finden" und das Ergebnis einzureichen. Der Vorgang dauert drei Minuten. Die Prüfungskosten hingegen bleiben unverändert hoch. Es bedarf weiterhin eines kompetenten Menschen, um den Code zu lesen, zu verstehen, zu testen und zu validieren. Diese Asymmetrie bildet den Kern des Problems, den keine finanzielle Förderung behebt.
Der Mechanismus entspricht exakt dem des Workslop in Unternehmen: Die Produktion kostet nichts, die Verifikation kostet alles. Dazwischen liegt ein Ozean aus Rauschen, den jemand durchforsten muss.
Die Kosten des Vibe Coding
Eine Studie der CEU und des Kiel Institute modellierte das Phänomen des sogenannten Vibe Coding, bei dem mit KI-Unterstützung programmiert wird, ohne den erzeugten Code wirklich zu verstehen. Die Schlussfolgerungen sind ernüchternd. Das Modell erzeugt eine negative Feedbackschleife: Je einfacher das Beitragen wird, desto stärker steigt das Volumen, desto erschöpfter werden die Maintainer, desto schlechter wird die Filterqualität, desto mehr degradieren die Projekte.
Die Linux Foundation stellt 12,5 Millionen Dollar bereit. Das ist ein Notverband, ein nützlicher zwar, aber auf eine Wunde, die sich weiter vergrößert. Die eigentliche Herausforderung besteht darin, die Art und Weise zu überdenken, wie Code produziert und gefiltert wird, nicht lediglich diejenigen zu finanzieren, die die Trümmer sortieren.
