curl pausiert einen Monat alle Bug-Meldungen – Team braucht Pause nach Dauer-Hochlast
Daniel Stenberg, Maintainer des in Milliarden Geräten verbauten Open-Source-Werkzeugs curl, nimmt vom 1. Juli bis 3. August 2026 keine Fehler- und Sicherheitsmeldungen an. Grund ist laut seinem Blog die anhaltende Hochlast der letzten Monate und der Erholungsbedarf des kleinen Teams; ein Teil des Drucks geht auf die stark gestiegene Zahl – teils KI-generierter – Sicherheitsmeldungen zurück.
Daniel Stenberg, Maintainer von curl, kündigte unter dem Titel „curl summer of bliss“ an: Vom 1. Juli (0 Uhr MESZ) bis 3. August 2026 (9 Uhr MESZ) nimmt das Projekt über sein HackerOne-Formular und die Projekt-E-Mail keine neuen Fehler- und Sicherheitsmeldungen an. Das Bug-Bounty-Programm bleibt bestehen, ruht aber in dieser Zeit; kostenpflichtige Supportkunden bleiben ausgenommen.
Als Grund nennt Stenberg ausdrücklich die enorme Belastung der letzten rund vier Monate und den Wunsch des kleinen Teams, im Sommer durchzuatmen und neue Kraft zu schöpfen – nicht primär eine bestimmte Report-Sorte. Der Ankündigungs-Blog selbst nennt keine konkreten Mengen-Zahlen.
Den Druck befeuert die stark gestiegene Zahl an Sicherheitsmeldungen; laut heise muss Stenberg inzwischen vier- bis fünfmal so viele prüfen wie 2024, viele davon KI-generiert und sachlich falsch (halluziniert). Das reiht sich in ein größeres Muster: Open-Source-Projekte und Bug-Bounty-Programme melden zunehmend „AI slop“ – plausibel formulierte, aber wertlose Eingaben, die Triage-Kapazität binden und Kosten von der Erzeugung zur Verifikation verschieben.