KI-Bots Umgehen Codeberg-Abwehr, Überfluten Plattform mit DDoS-Verkehr

Die quelloffene Code-Hosting-Plattform Codeberg, eine gemeinschaftsgetragene Initiative mit Sitz in Berlin, befindet sich an vorderster Front eines neuen digitalen Schlachtfelds und kämpft mit einem überwältigenden Ansturm hochentwickelter KI-Bots. Diese automatisierten Agenten haben Codebergs zuvor robustes Abwehrsystem namens Anubis erfolgreich umgangen, was zu erheblichen Dienstunterbrechungen geführt hat und eine wachsende Bedrohung für Online-Communities hervorhebt.

Anubis, als „Teergrube“ (tarpit) konzipiert, fungiert als Proof-of-Work-Proxy, der eingehende Verbindungen dazu zwingt, intensive Rechenherausforderungen zu lösen, bevor der Zugriff gewährt wird. Dieser Mechanismus wurde implementiert, um bösartige KI-Crawler abzuschrecken und den Bedarf an ständigem manuellem Blacklisting zu reduzieren, wodurch Codebergs Infrastruktur monatelang effektiv geschützt wurde. In einer beunruhigenden Entwicklung berichteten Freiwillige von Codeberg jedoch kürzlich über Mastodon, dass die KI-Crawler „gelernt haben, die Anubis-Herausforderungen zu lösen“, wodurch die Verteidigung unwirksam wird. Dieser Umgehung ist besonders besorgniserregend, da eine kürzliche Korrektur für Anubis (Commit e09d0226a628f04b1d80fd83bee777894a45cd02) eine Schwachstelle behob, bei der hochentwickelte Angreifer den Proof-of-Work durch Angabe einer Schwierigkeit von Null umgehen konnten. Das schiere Volumen dieses Bot-Verkehrs hat effektiv einen Denial-of-Service (DoS)-Angriff ausgelöst, der zu „extremer Langsamkeit“ auf der gesamten Plattform führt. Codeberg hat auch festgestellt, dass einige der angreifenden Bots offenbar von Netzwerken stammen, die von Huawei, einem chinesischen Telekommunikationsunternehmen, kontrolliert werden.

Der Vorfall bei Codeberg ist keineswegs isoliert; er unterstreicht eine allgegenwärtige und eskalierende Herausforderung, der sich Open-Source-Projekte und tatsächlich das gesamte Internet gegenübersehen. Berichte zeigen, dass „schlechte Bots“ im Jahr 2024 erstaunliche 71 % des gesamten Bot-Verkehrs ausmachten, ein bemerkenswerter Anstieg gegenüber 63 % im Jahr 2023. Ein signifikanter Teil dieses Anstiegs wird KI-gesteuerten „grauen Bots“ zugeschrieben, die wahllos Daten zum Trainieren großer Sprachmodelle (LLMs) ohne ausdrückliche Genehmigung scrapen, wodurch Hosting-Anbietern und von Freiwilligen betriebenen Communities eine immense und oft unvergütete Last aufgebürdet wird. Dieses unerbittliche Scraping erhöht nicht nur die Bandbreiten- und Hosting-Kosten, sondern verschlechtert auch den Dienst für legitime Benutzer, was einige Plattformen dazu zwingt, ganze Länder zu blockieren oder eigene „KI-Labyrinthe“ zu implementieren, um der Flut entgegenzuwirken.

Die ethischen Implikationen dieser unkontrollierten KI-Aktivität sind ein wachsender Streitpunkt innerhalb der Tech-Community. Bradley M. Kuhn, ein Policy Fellow der Software Freedom Conservancy, hat diese Aktionen offen verurteilt und sie als „DDoS-Angriffe gegen die freundlichsten und großzügigsten Menschen in unserer Gemeinschaft“ bezeichnet. Er behauptet, dass Unternehmen, die Bots für das LLM-Training einsetzen, für ihre „unersättliche Gier nach immer mehr Trainingsdaten“ zur Rechenschaft gezogen werden sollten. Kritiker argumentieren, dass die aktuellen Geschäftsmodelle vieler KI-Unternehmen ohne diesen freien Datenzugang nicht nachhaltig sind, und plädieren für strengere Vorschriften, um eine faire Vergütung und die Einhaltung etablierter Internetprotokolle zu gewährleisten. Das anhaltende Wettrüsten zwischen sich entwickelnden KI-Verteidigungen und zunehmend ausgeklügelten Bots, die nun zur autonomen Exploit-Generierung und zu fortgeschrittenem Phishing fähig sind, signalisiert einen kritischen Zeitpunkt für die digitale Sicherheit und die Nachhaltigkeit von Open-Source-Ökosystemen. Codebergs Erkundung alternativer Verteidigungen wie „Iocaine“ unterstreicht die dringende Notwendigkeit neuer Strategien in dieser sich entwickelnden Bedrohungslandschaft.