Nextcloud stopt met bugbountyprogramma door AI-slop

Nextcloud stopt met zijn bugbountyprogramma door het grote aantal ingezonden rapporten dat volledig is gegenereerd door AI. Inzendingen die vanaf woensdag worden ingediend, komen niet in aanmerking voor financiële beloningen.

In een e-mail, die onder meer op Privacy Guides is gedeeld, schrijft Nextcloud dat het steeds meer 'generieke AI-beveiligingsrapporten' krijgt via platforms als HackerOne. Daardoor wordt het steeds lastiger om goede rapporten te identificeren. "Ons doel is om het aantal door AI gegenereerde rapporten van lage kwaliteit te verminderen en ons te richten op wat er echt toe doet. Daarom hebben we besloten ons bugbountyprogramma per 22 april stop te zetten en geen financiële beloningen meer uit te keren voor inzendingen, ongeacht de ernst", aldus Nextcloud.

Complete onzin

Medeoprichter Jos Poortvliet laat aan Tweakers weten dat het aantal AI-gegenereerde beveiligingsrapporten de afgelopen maanden enorm is gestegen. "Het is echt snel gegaan. Engineering heeft intern aangegeven dat het onhoudbaar is. We zijn twintig tot dertig keer zoveel tijd kwijt aan reports als hiervoor en het is allemaal dubbel, ongeldig of echt complete onzin."

Poortvliet zegt dat het project eerst andere oplossingen heeft gezocht: "Daarbij hebben we ook gekeken naar veel andere projecten. Op een zeker moment gingen we vragen om een screenshot als bewijs om toch weer een menselijkheidscheck toe te voegen. Dan moesten gebruikers screenshots of een video van het probleem delen. Toen kregen we natuurlijk weer AI-gegenereerde screenshots."

Poortvliet hoopt op maatregelen van HackerOne

HackerOne, het platform dat Nextcloud gebruikte voor zijn bugbountyprogramma, is op de hoogte van het besluit. Poortvliet hoopt dat zulke platforms uiteindelijk maatregelen gaan nemen tegen AI-slop: "Die platforms zullen wellicht ook op zoek moeten gaan naar een oplossing. Het helpt natuurlijk ook hun businessmodel om zeep. HackerOne verdiende geld aan ons en nu niet meer. Maar in de tussentijd hebben we het gewoon even stopgezet. Het geld is niet het probleem, maar het behandelen van alle rapporten was niet te doen."

Nextcloud is niet het eerste opensourceproject dat worstelt met AI-slop. Eerder zette ook curl zijn bugbountyprogramma stop door het grote aantal rapporten dat was gegenereerd met AI. Tweakers schreef eerder al een achtergrondartikel over de problemen die AI-meldingen opleveren voor opensourceprojecten.

Nextcloud stock. Bron: Thomas Fuller/SOPA Images/LightRocket via Getty Images
Bron: Thomas Fuller/SOPA Images/LightRocket via Getty Images

Door Imre Himmelbauer

Redacteur

Feedback • 22-04-2026 13:03
84 • submitter: LEDfan

22-04-2026 • 13:03

84

Submitter: LEDfan

Lees meer

16 mrt 2026

AI-slop bedelft opensource onder rommelcode: 'Niet beperken wie kan bijdragen'

230
Linux Foundation wil opensource beschermen tegen stortvloed aan AI-bugmeldingen
Linux Foundation wil opensource beschermen tegen stortvloed aan AI-bugmeldingen Nieuws van 19 maart 2026
Curl stopt met bugbountyprogramma door 'AI-slop'
Curl stopt met bugbountyprogramma door 'AI-slop' Nieuws van 14 januari 2026
Kagi gaat 'AI-slop' weren uit zoekmachine op basis van meldingen van gebruikers
Kagi gaat 'AI-slop' weren uit zoekmachine op basis van meldingen van gebruikers Nieuws van 14 november 2025
Meer producten en artikelen
Software development Internet Bugbounty Bugs Nextcloud Security

Reacties (84)

-Moderatie-faq
84
84
40
2
0
40
Wijzig sortering

Sorteer op:

Weergave:
himlims_ 22 april 2026 13:07
kan je geen Ai inzetten om Ai submits eruit te pikken? :+
Reageer
Muurbestormer @himlims_22 april 2026 13:14
Maar echt! Het is de omgekeerde wereld. Mensen die 20-30x meer tijd kwijt zijn door het controleren van AI troep haha. En we blijven als schapen achter die tech-bedrijven en hun fake hype aanlopen met als enige doel het vullen van hun zakken.
Reageer
3raser @Muurbestormer22 april 2026 13:28
Het ergste is dat het mensen met kennis zijn die deze troep moeten controleren terwijl het de mensen zonder kennis zijn die ze indienen. En zo zie je waar de arbeidsmarkt straks naar toe gaat. De vakmensen sterven uit en we houden AI slop over.
Reageer
bzuidgeest
@3raser22 april 2026 13:37
De vakmensen blijven wel. Dan krijg je "artisinal code" ambachtslieden in essentie.

We maken onze kleren ook iet meer met de hand. Maar toch zijn er nog wevers en naaisters. We hebben de auto. Toch rijden er nog mensen paard. We hebben nog glasblazers, zink bewerkers en wat al niet. We hebben nog steeds mensen die voor retro home computers games maken, reverse enginering doen en wat al niet. Gewoon omdat ze het kunnen en het leuk vinden.

Wat verdwijnt wellicht is het kantoorwerk dat je "moet" doen. En dan blijft hobby en ambacht over. En dan krijg je echte vaklieden.
Reageer
Bas-w @bzuidgeest22 april 2026 14:38
Echte vaklieden in hobby en ambacht zijn er dan te weinig om als maatschappij/bedrijfsleven van te kunnen profiteren. Laten we hopen dat het niet zover komt…
Reageer
bzuidgeest
@Bas-w22 april 2026 14:59
Waarom zou de maatschappij daar niet van profiteren? Als er vraag is komen er meer van dat soort lieden basis economie....
Reageer
The Realone @bzuidgeest22 april 2026 16:13
Nu ben ik er totaal niet zeker van dat dit überhaupt gaat gebeuren, maar als dat wel zo is, is het toch niet anders dan nu? Mijn hele kast staat vol met goedkope massaproductie glazen, want als ik elk bierglas handgeblazen liet maken, had ik geen geld meer om brood te kopen. Daarom zijn er maar een handjevol van deze ambachtslieden.
Reageer
yo0k @The Realone22 april 2026 16:51
Omdat je specifiek goedkope massaproductie glazen noemt als voorbeeld, kan ik het niet laten om te reageren met dezelfde link als in een vorige Tweakers artikel review: Stemacteurs vrezen einde door AI, maar markt en techniek zijn (nog) niet zover over hoe AI gaat zorgen voor een race-to-the-bottom op het gebied van werk en de arbeidsmarkt, mede omdat ik het wel een interessante en vermakelijke documentaire vond.

De documentaire en link die ik wil delen is deze: https://npo.nl/start/video/mondgeblazen-glas_1/meer-informatie
Nu gaat dit niet om bierglazen maar om wijnglazen en die zijn misschien nog wel moeilijker om deze goed met de mond te blazen, maar dat is niet zozeer het punt hier. Het punt is dat het zelfs voor Nederlandse ambachtelijke glasblazers een openbaring was dat zo'n hele serie Ikea wijnglazen gewoon wel degelijk met de mondgeblazen wordt, namelijk door alsnog hoogwaardige ambachtelijke arbeid in China, maar natuurlijk wel onder matige omstandigheden en ongetwijfeld matige lonen.

Als AI en machines dadelijk vrijwel alles ong. evengoed kunnen als wij, of op zijn minst acceptabel werk opleveren dat voor veel consumenten een verstandigere financiële keuze is, zorgt dat volgens mij op termijn voor een race-to-the-bottom en zal ook veel van het ambachtelijke werk qua status en kostprijs eronder gaan leiden.

Hiervoor zijn er op zijn minst 2 samenhangende factoren volgens mij:
#1. Het kleiner wordend kwaliteitsverschil tussen de productie van een machine en van het ambachtslied waardoor het hele goedkope automatisch geproduceerde product aantrekkelijker wordt.
#2. Het feit de machine gemiddeld of bovengemiddelde kwaliteit produceert, en je je als werknemer alleen nog maar werk kan krijgen als je nog beter presteert, oftewel (dichter in de buurt bij) een ambachtslied komt. Dat zorgt voor meer ambachtslieden, waardoor het ook minder speciaal wordt om ambachtslied te zijn qua status en vooral: er vindt ook concurrentie op prijs plaats, want niet alleen is het (veel) goedkopere automatisch geproduceerde product niet heel veel slechter, er zijn ook meer mensen die het betere product kunnen leveren (je bent dus minder onderscheidend). Als voorbeeld verwijs ik naar die documentaire: dat bedrijf heeft een heel leger aan glasblazer ambachtslieden die kwaliteit produceren waar de Nederlandse ambachtslieden Ú tegen zeggen (inclusief opleidingsprogramma om er massaal meer op te leiden).

Oftewel: een race-to-the-bottom.

Ik denk dus dat je bij wijze van spreken in de eerste fases aan ontwikkeling die we doorgaan als redelijk welvarend burger (want West Europeaan) wel degelijk handgeblazen (bier)glazen zult kunnen kopen en dat dat handjevol ambachtslieden flink zal gaan groeien. Ik heb het niet over de uitzonderingen. de Messi's of Ronaldo's zullen er nog steeds wel zijn en die zullen ook goed verdienen. Maar de massa, die net wat minder onderscheidend produceert als werknemer, zal er niet bij floreren is mijn vermoeden. De moeten namelijk wel degelijk een stuk meer concurreren met de machine en een hoop andere mensen die vechten voor baanbehoud (nogmaals: zie China waarbij ambachtslieden voor Chinese fabriekslonen werken als een van de velen).

[Reactie gewijzigd door yo0k op 22 april 2026 16:57]

Reageer
bzuidgeest
@The Realone22 april 2026 16:31
Daarom zijn er maar een handjevol van deze ambachtslieden.
Het punt is dat ze er nog wel zijn. En voor de mensen met het geld kan je nog steeds werk laten doen.

De ambacht krijgt waarde, dus is het interessant om het te leren. Programmeren word niet anders dan beeldhouwen, kunts etc.... We hebben printers uitgevonden. Maar toch is er nog schilderkunst. We hebben 3d printer, maar toch 3d printen we niet alles.

De hele geschiedenis zit vol met gevallen waar dingen die door de mens gedaan worden vervangen worden door machines en de mens iets anders gaat doen. Keer op keer op keer. De wereld veranderd gewoon en mensen gaan ook nu weer wat anders doen. Misschien wel meer aandacht voor zelfontplooiing, sport en andere persoonlijk prestaties.
Reageer
Barsonax @bzuidgeest22 april 2026 19:35
Nu gebruik ik AI dagelijks met mijn baan als software engineer maar zie het mijn baan niet vervangen. Je hebt zoveel kennis nodig om het goed te kunnen gebruiken dat mijn vak wel veilig zit.
Reageer
bzuidgeest
@Barsonax23 april 2026 11:31
Dat kan ik voor nu met je eens zijn. Maar mensen voorzagen ook de opkomst van de LLM's niet. Dus als programmeur houd ik de optie open dan echte AI ook ineens verschijnt. En dat mijn werk verdwijnt. Dan moet ik wat anders gaan doen.

En dat telt voor alle vakken waar ze nuttig zijn.
Reageer
Barsonax @bzuidgeest23 april 2026 12:37
Als ze echte AI maken dan heeft niemand nog een baan maar dat zijn LLM's dus niet. LLM's voorspellen het volgende token maar hebben totaal geen begrip van de wereld. Dat gaat er ook niet komen bij LLM's want daar zijn het de modellen gewoon niet voor.
Reageer
bzuidgeest
@Barsonax23 april 2026 14:12
Ik heb het idee dat mensen LLM's te kort doen. Ik ken genoeg mensen die ook door het leven gaan zonder enig begrip maar gewoon het volgende token proberen te voorspellen. En meer begrip gaat niet komen want daar zijn het de mensen gewoon niet voor :)

Je hebt natuurlijk niet helemaal ongelijk. Maar ik vraag mij soms echt af of mensen ook niet gewoon LLM's zijn. We denken liever dat wij "meer" zijn. Maar mogelijk zijn wij niet veel meer dan een LLM met een "wil" toegevoegd. Een vermogen om zelf een actie te starten. Maar dat dit laatste ook het hele verschil is.

En onder de filosofen en wetenschapper ben ik echt niet de enige die zich dat afvraagt. Er is zelfs discussie of taal leid naar intelligentie of intelligentie naar taal. Een intelligent persoon kan een taal maken, maar jezelf complex kunnen uitdrukken maakt ook dat je complexere begrippen kan behandelen. Ofwel meer taal, leid naar hogere complexiteit in denken. We denk wellicht bewust of onbewust in taal.
Reageer
Barsonax @bzuidgeest23 april 2026 17:47
Opzich eens er zijn genoeg mensen die door het leven gaan alsof alles hun maar overkomt maar met die mindset haalde je het sws al niet als software engineer op de plaatsen waar ik werk en dat zal met AI alleen maar erger worden.

Om maar te beginnen is het intikken van code al heel lang niet een bottleneck bij mij. Het is nice dat AI dat kan maar dat zorgt in mijn geval niet voor een spectaculaire productiviteit verbetering.

Waar het wel in zit is het grotere plaatje. Welke features zijn belangrijk? Zijn er betere alternatieven? Welke failure modes zijn er en is dat een probleem of niet? Schaalt dit? Hoeveel gaat dit kosten? Heeft deze abstractie wel zin? Enzovoorts.. AI kan hier vooralsnog in assisteren maar niet overnemen. Jij zult het roer moeten nemen. Er gaat meer tijd zitten in te bedenken wat je wil maken/aanpassen dan het aanpassen zelf.

LLM's zijn in essentie een fancy templating engine en jij zult die de juiste context moeten geven en de output moeten verifiëren. Kennis over die output blijft belangrijk en regelmatig uit die ivoren toren komen en zelf wat schrijven houdt je scherp.

Wat mij irriteert is het constante geroep dat we allemaal over 6 maanden werkloos zijn. Dat gaat alleen gebeuren als ze AGI behalen en dat is gewoon niet zo.

[Reactie gewijzigd door Barsonax op 23 april 2026 17:50]

Reageer
bzuidgeest
@Barsonax24 april 2026 11:00
Wat mij irriteert is het constante geroep dat we allemaal over 6 maanden werkloos zijn. Dat gaat alleen gebeuren als ze AGI behalen en dat is gewoon niet zo.
Je word alleen maar moe als je jezelf door dat soort dingen laat irriteren. Maar kijk naar je eigen woorden. Je zegt zelf als: alleen als ze AGI behalen. En dat is waar. Maar wie weet wat in de komende maanden bovenkomt? Misschien is het niet waarschijnlijk, maar de markt als geheel werd ook verrast door ChatGPT ofwel in productie nuttige LLM's. Wie weet krijgen de maker van die producten en wij over een paar maanden wel weer een verrassing. Misschien nooit, misschien over 10 jaar. Ik weet het niet. Maar je weet maar nooit. We hebben in ieder geval weer een stap die kant op gezet met LLM's
Om maar te beginnen is het intikken van code al heel lang niet een bottleneck bij mij.
Code intikken is inderdaad een secondair proces bij programmeren. Het werkelijke werk begint in je hoofd. MAAR. Ik heb over de jaren RSI ontwikkeld en dat ding kan veel sneller typen dan ik. Dus als jij geen versnelling kan halen doe je iets niet goed. Code is geen bottleneck wellicht. Maar ik betwijfel of jij sneller kan typen dan die dingen :)

En het zijn ook veel betere reverse engineers dan ikke. Ze hebben totaal geen moeite met ghidra output zonder mooie variabele namen. Lezen assembly in een rotgang. Daar zijn de meeste mensen veel slechter in. (ghidra met AI is iets voor de hobby, maar werkt verbazend goed). Zelfs de echte goede reverse engineers hebben hier voordeel bij.
Reageer
The Realone @bzuidgeest22 april 2026 17:04
Het punt is niet dat ze er nog zijn, het punt is dat het maar een handjevol mensen is. Stel dat 95% van de arbeiders verantwoordelijk is voor massaproductie, en 5% voor echte ambacht, en je vervangt die 95% voor AI. Dan gaan die 95% zich niet ineens allemaal bij die 5% voegen. Dit is natuurlijk hypothetisch met uit de lucht gegrepen cijfers, maar dat is om het punt duidelijk te maken.

Printers zijn nooit bedoeld om schilderkunst te vervangen, dus het is logisch dat die 2 naast elkaar bestaan. Echter, voor de boekdrukkunst, was er heel wat werk in het met de hand schrijven van boeken. Hoeveel mensen ken jij nu die hun kost verdienen met pen en papier?

En ja, het is correct dat de wereld altijd verandert, maar het hele idee van AI is dat deze, op termijn, enorm breed inzetbaar is. Dan is het niet zo dat "die boekenschrijvers" zich om moeten scholen tot tuinman, maar ook de bakker, ook de vakkenvuller, ook de HR medewerker, ook de accountant, etc.
Reageer
bzuidgeest
@The Realone23 april 2026 11:36
Printers zijn nooit bedoeld om schilderkunst te vervangen
Nee? Daar dachten de tekenaars, schilders etc vast anders over. Die zagen hun werk verdwijnen naar een goedkoop printje dat mensen kunnen ophangen. Naar print on linnen services... etc.. Jij stelt nooit bedoelt omdat jij het niet meegemaakt hebt wellicht of dat het minder zichtbaar voor je was. Maar de printer heeft een hoop werk dat door mensen moest worden gedaan vervangen. Niet anders dan het werk van type-setters in de kranten industrie is vervangen door layout pakketten.

En jij in theorie zou het heel veel beroepen kunnen treffen. Maar in theorie kan het ook leiden tot een post scarcity maatschappij en daar zou niemand over klagen.
Dan gaan die 95% zich niet ineens allemaal bij die 5% voegen
Waarom zou dat moeten? Die 95% kan gaan doen wat ze willen. Die 95% zijn de mensen die een baan hebben om de baan te hebben, die niets om het werk geven. De jobhoppers. De 5% waren altijd al de enige echte groep vaklui die zich identificeren met die taak. De "echte".
Reageer
The Realone @bzuidgeest23 april 2026 15:01
Printers vergelijken met schilderkunst is krom, omdat het printen slechts een manier zijn om iets op papier te zetten, die bepalen niet wat er op papier komt. Dat is een beetje hetzelfde als een auteur vs kopiist zoals we die uit de middeleeuwen kennen. Auteurs/schilders, dus de creative breinen, verdwenen niet door boekdrukkunst en printers, maar kopiisten wel. Dus nee, printers hebben de schilderkunst of schrijverkunst nooit vervangen, wel de kopiist.
En waar men met AI bang voor is, is dat het de mogelijkheid heeft dat "creative" proces over te nemen, het gaat niet dan om het vermenigvuldigen, maar het creëren.
Waarom zou dat moeten? Die 95% kan gaan doen wat ze willen.
Welke banen? Je gaat er vanuit dat er ineens uit het niks voor grote aantellen mensen banen beschikbaar zijn, terwijl juist het tegenovergestelde het doel is van AI. Als dat uitkomt, is er natuurlijk een periode waarin dat geweldig is wanneer er daadwerkelijk schaarste op de arbeidsmarkt is. Maar we hebben nu al vaak genoeg de ellende gezien van het tegenovergestelde, dat men nergens aan een baan kan komen. En precies die groep die jij aanstipt, is de groep die werk zal zoeken in sectoren waar "vervanging door AI" realistisch is. Die lopende-band werker in de fabriek wordt vervangen, die gaat geen baan vinden als tandarts.
Reageer
bzuidgeest
@The Realone23 april 2026 15:28
Printers vergelijken met schilderkunst is krom, omdat het printen slechts een manier zijn om iets op papier te zetten,
Je bedoelt dat schilderen, schrijven wat dan ook niet een manier is om iet op papier of zo te zetten? En de printer maakt niet magisch een afbeelding, daar zit nu een muis klikker voor.
Welke banen?
Dezelfde banen als de wevers hebben gevonden en de koetsiers etc etc etc..... Met nieuwe mogelijkheden komen ook nieuwe banen of als de AI alles doet, nieuwe bezigheden vanwege meer vrije tijd. En ja dat kan want als de AI al het werk doet hebben zelfs grondstoffen nauwelijks waarde en arbeid van de AI ook niet. Er is genoeg van dat alles dan.

Het creatieve proces is subjectief. Zie kunst. Kunst van mensen zal gewoon exclusiever worden. Gewoon omdat een AI het kan wil niet zeggen dat iedereen het van een AI wil hebben.

Wat we eerder hebben gezien is grote groepen die niet aan werk konden komen omdat er geen werk was en dat was een probleem omdat ze salaris nodig hadden. Maar als de robots en AI alles doen.... Waar is salaris dan nog voor nodig. Zelfs verschillende van de AI boeren erkennen dat als ze hun product beter blijven maken dat ze hun eigen bedrijven overbodig maken. Als ze echt intelligentie uitvinden, heeft rijk zijn of geld verdienen geen betekenis meer. Want dat komt uit schaarste voort. En die is weg.

Maar een idioot als Trump roept wel dat de banen in de kolen industrie terug moeten omdat daar zoveel banen in verloren zijn gegaan. Maar die sukkel vergeet dat de groene sector om personeel verlegen zit. En voor die mensen is dat schoner en veiliger werk. Een verbetering. Dus meer op groen inzetten is niet slecht voor banen het is een van de grootste banen motoren van de eeuw. Als AI dingen gaat overnemen dan komen er ook weer andere dingen beschikbaar. Nieuwe opties, nieuwe manieren van samenleven.

Te veel mensen proberen AI toe te passen op dezelfde wereld als hij nu is. Maar AI veranderd de wereld. Dus moet je al je veronderstellingen loslaten. Niet alleen het aantal banen en de soort banen veranderd. Maar ook de economie, het politieke landschap, zorg, pensioenen, vrije tijd, zorg, de noodzaak om uberhaupt te werken. Mensen moeten niet zo krampachtig zijn. Elke verandering komt met chaos. Daarna stabiliseert het vanzelf weer.
Reageer
The Realone @bzuidgeest23 april 2026 15:39
Je bedoelt dat schilderen, schrijven wat dan ook niet een manier is om iet op papier of zo te zetten? En de printer maakt niet magisch een afbeelding, daar zit nu een muis klikker voor.
Je snapt toch hopelijk wel het verschil tussen zomaar wat letters op papier zetten en het schrijven van een roman? Of wat verf op een doek gooien versus het maken van een prachtig schilderij?
Reageer
bzuidgeest
@The Realone23 april 2026 16:00
Je snapt toch hopelijk dat kwast en printer allebei output devices zijn voor iemand met creatief talent?
Reageer
The Realone @bzuidgeest23 april 2026 17:07
Huh? Artiesten en kunstenaarsa zijn niet bang dat AI een ander "output" device wordt. Die zijn bang dat zij een ander "input" device wordt. Dus niet datdegene dat letters op papier drukt, maar datgene dat het verhaal bedenkt.
Reageer
bzuidgeest
@The Realone24 april 2026 09:50
Dus ze zijn bang voor een vervangen zoals ooit de saboteurs bang waren vervangen te worden door de jacquard loom
Reageer
The Realone @bzuidgeest24 april 2026 16:19
Nee.
Reageer
bzuidgeest
@The Realone24 april 2026 16:25
Ja.
Reageer
The Realone @bzuidgeest24 april 2026 16:33
Ok. Ik heb niet zo'n zin in een discussie als jij het verschil niet ziet of wil zien tussen "iets bedenken" en "iets maken". Dus ik hou er mee op.

Je mag van mij het laatste woord hebben hoor.
Reageer
bzuidgeest
@The Realone24 april 2026 16:57
Top! :)

[Reactie gewijzigd door bzuidgeest op 24 april 2026 16:57]

Reageer
Bliksem B @3raser22 april 2026 13:59
Als AI zelfs een screenshot genereert, vraag ik me af of deze inzendingen niet enkel bedoeld zijn om geld te verdienen. Verder als gebruikers een prompt kunnen bedenken om bugs te zoeken en te melden. Dan kan het bedrijf dit beter zelf doen.
Reageer
Bas-w @Bliksem B22 april 2026 14:39
Dat is precies de reden, daarom worden de beloningen ook afgeschaft.
Reageer
bzuidgeest
@Bliksem B23 april 2026 15:35
vraag ik me af of deze inzendingen niet enkel bedoeld zijn om geld te verdienen
Mijn complimenten je hebt het idee achter waarom dit een probleem is kunnen ontcijferen :) Het is niet dat het niet in het artikel staat of zo....
Reageer
Bliksem B @bzuidgeest23 april 2026 17:15
[...]

Mijn complimenten je hebt het idee achter waarom dit een probleem is kunnen ontcijferen :) Het is niet dat het niet in het artikel staat of zo....
Ik heb het artikel nog een keer gelezen. Het wordt in het midden gelaten of het gaat om doelbewust via AI scripting zoveel mogelijk inzendingen te doen, in de hoop dat er iets wel door komt.

De stelling van 3raser in 'Nextcloud stopt met bugbountyprogramma door AI-slop' ging er om dat het (serieuze) inzendingen zijn van mensen die er geen verstand van hebben. Mijn stelling is dat één partij achter heel veel inzendingen zitten en doelbewust misbruik maakt van het systeem. Vergelijkbaar met partijen die achter phishing zitten.
Reageer
bzuidgeest
@Bliksem B24 april 2026 09:55
Misschien wat ik wat kort door de bocht. Maar je hebt in ieder geval gelijk. Al denk ik niet dat het 1 partij is. Het zijn inderdaad in veel gevallen dezelfde groepen als die "tribute" channels maken op youtube. Ofwel gasten die content van andere makers op hun kanaal zetten om geld te verdienen. Phising, zo veel mogelijk mensen aanschrijven in de hoop dat er 1 hapt. En nu inderdaad zoveel mogelijk AI gegenereerde bug bounty's indienen in de hoop dat er 1 geld oplevert.

Het zijn absoluut tumoren in de maatschappij dat soort groepen.
Reageer
bzuidgeest
@Muurbestormer22 april 2026 13:34
Er is niets fake aan die hype. Ik kan makkelijk veel meer doen dankzij die modellen. Je moet natuurlijk wel weten hoe je ze gebruiken moet.

Ik gebruik het voor mijn eigen werk/projecten en het werkt prachtig als je voor de top modellen betaald.

Het is zelfs goed voor de RSI om gewoon een LLM een opdracht te kunnen geven.

Het probleem is niet de LLM's het probleem is het kut karakter van veel mensen die er misbruik van maken.
Reageer
The Realone @bzuidgeest22 april 2026 16:19
Klopt deels wat je zegt, maar met hype doelt men meestal op de gigantische bedragen die erin gepompt worden en dat AI nu overal maar ingestampt moet worden, of het nu daadwerkelijk voordeel oplevert of niet. En dat staat totaal niet in verhouding tot wat we er nu uithalen.

Daarnaast is het goed je te beseffen dat er uiteindelijk maar een select groepje mensen van profiteert. En ik kan je vast verklappen dat dat groepje klein is.
Reageer
bzuidgeest
@The Realone22 april 2026 16:27
Maar dat gaat niet in op het onterechte gebruik van "fake". Er is niets fake aan het product, of aan de hype.
en dat AI nu overal maar ingestampt moet worden
Je verwart high profile bedrijven zoals Microsoft met tal van bedrijven hier er gewoon heel praktisch naar kijken en er nut van hebben.
Daarnaast is het goed je te beseffen dat er uiteindelijk maar een select groepje mensen van profiteert
Dat weet ik zo zeker nog niet. Ik heb makkelijk last van RSI. voice programming e.d. was nooit een echte oplossing. Gewoon een LLM opdrachten geven wel. Ik profiteer er nu al van.

Er zijn ook vakgebieden die ik nooit de optie had om te ontwikkelen of betreden. Nu kan ik dat (voor de hobby) wel. En de dingen die ik maak profiteren anderen mogelijk weer van. Dus of de groep werkelijk zo klein gaat zijn? Ik betwijfel het. Het is wellicht niet hip, maar AI word ook gebruikt om door enorme hoeveelheden research papers heen te werken. Het is al meerdere malen vertoont dat de ene groep onderzoekers met problemen op oplossingen van andere groepen worden gewezen. Dingen die de andere groep niet als primaire doel had, maar wel als dingetje hadden opgeschreven. Mensen kunnen niet alle papers bijhouden, lezen en onthouden. LLM's zijn daar fantastisch voor. Zelfde voor material research. Medicijnen onderzoek etc etc...

En vergeet niet dat LLM's maar 1 type zijn. Er word ook aan andere AI typen gewerkt. Alles in die space heeft nu aandacht. Maar niet alles heeft evenveel media aandacht.
Reageer
The Realone @bzuidgeest22 april 2026 16:50
Maar die high-profile bedrijven zijn exact degenen die de hype aandrijven en die er miljarden instoppen. Die willen dat geld terugzien en de enige manier waarop ze dat op dit moment hopen te kunnen is door het aan alles en iedereen proberen te slijten. Totdat het niet meer kan en de geldstroom opdroogt.

Er zijn zeker uitstekende toepassingen voor AI te bedenken, maar het gros van de huidige toepassingen is dat nu niet. Maar het verlies van kennis en kunde is ook gewoon een realiteit. Zeker voor de jongere generaties die er nu mee opgroeien. Uiteindelijk is garbage in > garbage out.

Ik zie nu softwareontwikkelaars in mijn team die hun taken dankzij LLMs veel sneller afhebben. Dat is natuurlijk geweldig voor ze, want ze zijn daardoor nu ineens een stuk efficiënter wat op de korte termijn goed is voor hun carrière, of ze hebben meer tijd over voor zichzelf. Dat is leuk, totdat de werkgever, en dat is onvermijdelijk, die efficiëntie gaat verwachten. Maar dat jij nu 3 features per dag ontwikkeld en 5 bugs oplost, i.p.v. de ene die je voorheen deed, maar daar wordt jij uiteindelijk niet beter van.
Reageer
bzuidgeest
@The Realone22 april 2026 16:59
Maar het verlies van kennis en kunde is ook gewoon een realiteit. Zeker voor de jongere generaties die er nu mee opgroeien. Uiteindelijk is garbage in > garbage out.
Dat argument is van alle tijden en niet nieuw. Zelfs het effect is niet nieuw. De laatste 20 jaar zijn "programmeurs" steeds meer hyper gespecialiseerd. Ze zijn "game" programmer of "wordpress" programmer of of of... Terwijl als je echt kan programmeren bestaat dat onderscheid niet. Het is alleen wat je met je code wil bereiken. Website programmeurs weten niets van databases etc. Gevolg is dat veel website maar matig van de power van databases gebruik maken.

Niets nieuws. Het is altijd al meer monkey see, monkey do geweest. Mensen met brede interesse die willen nadenken WAAROM iets zo is zijn er sowieso maar weinig. Ze vinden het allemaal wel best om een trucje te herhalen.

LLM's maken dat nu nog meer zichtbaar, maar het is niet nieuw en al heel lang bezig.

Als je een programmeur van 50 jaar gelden bekijkt dan zie je een persoon die zijn machine van onder top boven kent. Elke nuk, elke eigenschap, elke byte. Hyper geoptimaliseerde code. Die vind de programmeurs van nu met hun point en click tools en frameworks die ze niet kennen. De hardware die ze niet kennen en begrijpen maar domme apen.

En toch draait de wereld nog steeds door.

En zeker, men duwt het nu overal in en het gross verdwijnt weer. Maar die capaciteit die daardoor overblijft gaat naar de nuttige toepassingen. De H200, H100 "AI" versnellers bestonden al voor de hype. Maar toen waren het niche HPC kaarten. Als de LLM's niet meer zo spannend zijn, dan verzinnen we daar weer een ander nut voor. Ik wil er wel een paar hebben voor mijn zonneenergie aangedreven home LLM

Er is zeker hype, en die geldstromen zijn bizar. Maar er is ook een echt product dat niet vlug meer verdwijnt. Daar is het op te veel plekken nuttig voor.
Reageer
The Realone @bzuidgeest22 april 2026 17:13
Maar die "game" of "Wordpress" programmeurs zijn al geen echte programmeurs. Zoals je zegt, kun je die niet geen Rust of wat dan ook laten coden. Die worden daarvoor dus ook nooit aangenomen, terwijl er wel vraag naar is. Dat is precies het probleem. Nu is het nog zo dat de groep die daadwerkelijk heeft leren programmeren "groot genoeg" is. LLMs maken dat niet meer zichtbaar, die accellereren het tot een ongekend niveau. Er komt een enorme groep jonge aanwas aan die echt daadwerkelijk die kennis niet meer heeft en ook niet meer op zal doen. En dat terwijl de vraag naar die kennis ook blijft groeien.

Tenzij natuurlijk de aanname is dat de kennis op termijn ook helemaal niet meer nodig is. Maar ik heb er moeite mee te geloven dat we het verloop van bijvoorbeeld het kunnen programmeren van assembly naar enkel een steengoede C++ ontwikkelaar zijn, kunnen vergelijken met het verloop van die C++ ontwikkelaar naar een goede LLM prompter.
Reageer
bzuidgeest
@The Realone23 april 2026 11:29
Maar die "game" of "Wordpress" programmeurs zijn al geen echte programmeurs.
Denken ze zelf anders over :) En game engines zit toch echt wel wat stevige code in. Wordpress laat ik maar even in het midden :)
die accellereren het tot een ongekend niveau.
Het versneld het, maar het ging altijd al die richting op. Het komt alleen vlugger nu.
Er komt een enorme groep jonge aanwas aan die echt daadwerkelijk die kennis niet meer heeft en ook niet meer op zal doen
Die groep is de huidige en vorige generatie al. Die komt er niet aan. Die is er al een tijdje.

Ik ben het met je eens dat er in zekere zin een probleem aankomt. Waar ik met je verschil van mening is dat het door LLM's alleen word veroorzaakt of nieuw is. Het is zelfs een heel oud probleem denk ik. Mensen kunnen al sinds de tweede wereld oorlog steeds minder en weten steeds minder. De versnelling word hoger, maar zelfs zonder LLM's werd het alleen maar erger. Dus een LLM verbieden lost niets op.

[Reactie gewijzigd door bzuidgeest op 23 april 2026 11:29]

Reageer
iAR @himlims_22 april 2026 13:11
Dit is wel een beetje de weg naar de dystopie.
Reageer
MMaster23 @iAR22 april 2026 13:19
Moderne banenmarkt is ook niet anders. Mensen fleuren hun cv op en schrijven brieven met AI en gebruiken agents/bots om maar op zoveel mogelijke vacatures te reageren. En werkgevers/recruitment gebruikt weer AI om de vele aanmeldingen per vacature te filteren.
Reageer
Qwerty-273 @MMaster2322 april 2026 13:51
Dat kan je ook door trekken binnen organisaties. Je stelt een lijstje met punten op en laat AI er een heel document van maken met "diepgaande" motivering/onderzoek/etc. Vervolgens gaat niemand dat document meer lezen, maar gebruikt AI om het document samen te vatten in een lijstje met punten. Hele stapels documenten die ergens staan puur om op compliance/governance/audit lijstjes een vinkje te krijgen.
Reageer
MrFax @MMaster2322 april 2026 14:09
"om maar op zoveel mogelijke vacatures te reageren"

Misschien moet de UWV met de WW wat anders gaan doen dan alleen een wekelijkse vacatureplicht als het nu zo makkelijk is.
Reageer
lenwar
@MMaster2322 april 2026 16:51
De Kagi-vertaler heeft tegenwoordig zelfs ‘LinkedIn Speak’ als doel-taal:
ik ben een beetje bekend met excel
Wordt:
Proficient in leveraging Microsoft Excel to drive data-informed solutions and optimize workflow efficiencies.
Of:
Adept at utilizing Excel's analytical capabilities to transform raw data into actionable business insights.
Ik heb meelij met HR-afdelingen die CV’s/sollicitatiebrieven moeten lezen 😁
Reageer
Mit-46 @iAR22 april 2026 13:39
De manier waarop LLM's worden gepromoot en vervolgens ook worden gebruikt is wat mij betreft een weg naar dystopie.

Het ligt vooral aan de manieren waarop en niet aan LLM's zelf ben ik van mening. LLM's gebruiken om tegen LLM's te werken heft het wellicht weer op hoewel de kans groter is dat er alleen maar nog meer aan deze ingezette weg wordt getimmerd. :X
Reageer
himlims_ @iAR22 april 2026 13:14
leven we al niet 10+ jr in een dystopie
Reageer
MartijnHavinga @himlims_22 april 2026 13:23
Het probleem is dat de analyse van die A.I. net zo'n rommel is als de code analyse van de A.I. die de bugmelding doet :)
Reageer
bzuidgeest
@MartijnHavinga22 april 2026 13:45
Dat komt omdat het gemaakt word door noobs met een gratis chat abbo of zo. Met de high end betaalde AI's haal je die fake zooi er zo uit. De kwaliteit van modellen scheelt enorm. Opus is geen haiku is geen chatgpt. Zitten werelden van verschil tussen. Zeker met toevoegingen als bijvoorbeeld die van augment code.

Dus de controle AI kan makkelijk beter zijn. Als die misbruikers een goede AI zouden gebruiken zouden hun rapporten ook beter zijn. Kijk naar het bericht van mozilla vanmorgen. Die hebben met Mythos 127 of zo bugs gevonden. Dus het kan kwaliteit werk opleveren. Als je weet hoe je de tool kan gebruiken en hoe programmeren werkt.
Reageer
Omegium @MartijnHavinga22 april 2026 13:45
Nee, het echte probleem is dat je de AI detector kan gebruiken als training voor de AI generator, waardoor de AI generator leert om niet detecteerbare tekst te genereren.

AI detectie door AI is fundamenteel onoplosbaar.
Reageer
bzuidgeest
@himlims_22 april 2026 13:41
Tuurlijk kan dat en dat word ook al gedaan. Maar dat is een minder spannende headline.
Reageer
sdziscool @himlims_22 april 2026 16:16
je kan gewoon 100 euro retainer vragen voor een submit, niet reviewed binnen 2 weken of een bug? dan krijg je het volledig terug, AI slop? dan 100 euro kwijt. is je probleem snel opgelost.
Reageer
himlims_ @sdziscool22 april 2026 16:35
lijkt me een best valide optie
Reageer
player-x 22 april 2026 13:12
Waarom niet een bedrag van bv €5~€10 vragen, voor het indienen van bug, en die terugbetalen als er een goede bug-rapport is ingediend, en indien het AI-slop is, het geld doneren aan een goed doel.

Ja, het geeft een hoop rond slomp, maar als verschillende bedrijven/projecten samen een systeem opzetten, zou het misschien handelbaar kunnen worden.
Reageer
heymjo @player-x22 april 2026 13:17
Dit lijkt me inderdaad niet zo'n gek idee om op korte termijn er iets aan te doen.
Reageer
kodak @player-x22 april 2026 14:01
Bij borg hoort er ook een behoorlijk eenduidige manier te zijn om onafhankelijk, objectief en betrouwbaar te controleren of een inzending de borg terug zal geven. Dat is bij borg tegen (verborgen) schade vaak al last, bij verschil van mening al helemaal.

In plaats van op betalen en uitbetalen te richten lijkt het eerder verstandig dat belonen los te laten. Het doel van kunnen melden is om het gezamenlijk veiliger te maken en iedereen er van kan leren, niet om er aan te verdienen of het als goedkope marketing te gebruiken. Dat is precies waarom het eigenlijk responsible disclosure heet.
Reageer
JeroenED @kodak22 april 2026 14:36
Zelfs al is er een eenduidige manier. Dan nog is het lastig. Bv borg voor de sticks van minigolf. Redelijk eenduidig inderdaad: zonder schade terugbrengen. Klinkt simpel niet? Tot die man aan de bar een slechte dag heeft en schade aan de voet als schade rekent. Is gewoon gebruiksschade en compleet onredelijk maar jij gaat daar niet noodzakelijk over zeuren maar niet iedereen is zoals ik als jij. Veel van AI submitters lijken volgens mij ook in die 2e categorie te vallen.

Uiteindelijk moet HackerOne en dergelijk gewoon een AI policy hebben en handhaven (of gewoon labels toevoegen zodat duidelijk is dat submit waarschijnlijk AI is), maar ik denk dat daarvoor de markt nog te jong is om dit reeds te hebben.
Reageer
kodak @JeroenED22 april 2026 17:47
Zowel Nextcloud als Hackerone gedragen zich juist als een oude markt: ze doen aan bugbounty om het geld en makkelijke handel. Niet om vooral problemen te voorkomen en responsible disclosure te bevorderen. Hun handelswijze is daarbij dat ze een te hoog aanbod een probleem van de markt vinden. Een ander moet dat maar oplossen. Niet omdat ze zelf niets kunnen doen maar omdat ze hun handswijze en het verdienmodel belangrijker vinden dan werkelijk aan responsible disclosure doen.
Reageer
Zonder @kodak22 april 2026 19:29
Wacht even... Hoe stel jij je voor dat Nextcloud geld verdiend aan de bug bounties? Die betalen ze uit aan "vrijwilligers" die meewerken aan aan het open source project toch? Dat kost ze dan toch alleen geld? Hoe is dat dan een verdienmodel?

Volgens mij snap ik iets niet... 8)7
Reageer
kodak @Zonder23 april 2026 10:06
Zoals al eerder opgemerkt is een deel van het verdienmodel om bugbounty als goedkoope marketing te hebben om winst te maken.
Reageer
Zonder @kodak23 april 2026 10:33
Maar... NextCloud is toch een "niet commercieel" open source initiatief? Is dat niet per definitie een organisatie zonder winstoogmerk? Of is dat niet wat "niet commercieel" betekent in deze context?
Reageer
kodak @Zonder23 april 2026 12:33
Nextcloud is niet slechts community software, er zit een heel bedrijf omheen om er commerciele diensten mee te verkopen. Zoals in het nieuws en op hackerone is te lezen gaat dit om het bedrijf.
Reageer
Zonder @kodak23 april 2026 13:01
Achzo. Dat had ik even niet door. Dank voor de verduidelijking.
Reageer
The Zep Man
22 april 2026 13:06
Het lijkt mij dat platformen als HackerOne dit beter moeten faciliteren om zo de kwaliteit binnen hun dienstverlening hoog te houden. Bewijs van identiteit is een eerste stap. Bij voldoende AI-slop reports wordt het account geblokkeerd en is de hacker niet meer welkom op dat platform.

[Reactie gewijzigd door The Zep Man op 22 april 2026 13:17]

Reageer
LOTG @The Zep Man22 april 2026 13:25
Op zich ben ik het daar mee eens, maar dan moet je eerst de discussie gaan voeren wat AI slop is denk ik. Als het een op het oog goede report is die ook nog een daadwerkelijke bug gevonden heeft, is het dan AI slop?

Het probleem wat hier aangekaart word is namelijk drievoud: dubbel, ongeldig of onzin.
Die derde zou je uiteraard heel makkelijk kunnen aanmerken als reden om het account in te trekken, de tweede word al lastiger aangezien dit ook voor de AI avalanche waarschijnlijk gebeurde zonder slechte intentie.

De eerste is het daadwerkelijke probleem, maar ook een die steeds groter word. Hoe ga je om met duplicates.

Ik denk dat er vooral gestreefd moet worden naar betere kwaliteit en aantoonbare effort in de validiteit van het raport.

En misschien ook gewoon hard zeggen dat AI niet zelf zaken mag indienen en dat je als eigenaar van het account verantwoordelijk bent voor wat er gerapporteerd word.
Reageer
bzuidgeest
@LOTG22 april 2026 13:47
Je AI slop niet te definiëren. Je onderscheid gewoon mensen die te veel "troep" en niet te valideren rapporten in leveren van de rest die wel een echte bug melden. Dat kan je makkelijk tellen.

Het probleem is namelijk niet de LLM, het probleem is de kwaliteit van de (mis)bruikers.

Vanmorgen was er nog bericht dat mozilla met AI 100+ bugs zelf had platgeslagen. Dus aI kan meer dan slop als je weet wat je er mee doet.
Reageer
Pietopdeheuvel 22 april 2026 13:20
Ook een beetje het issue met Open Source aan het worden, ontwikkelaars die met AI werken genereren zoveel code dat het niet meer doenlijk is het te controleren, of zelfs maar begrijpbaar is.
Reageer
metalmania_666 @Pietopdeheuvel22 april 2026 13:33
Niet alleen met Open Source.

Microsoft, Meta etc gebruiken ook veel AI development. Niet voor niets dat MS meer patches weer moet patchen
Reageer
Pietopdeheuvel @metalmania_66622 april 2026 13:37
True, maar het ging mij erom dat Open Source berust op controleerbaarheid, die is verdwenen.
Reageer
Usselite 22 april 2026 13:22
Dit gebeurt natuurlijk niet alleen in een bug bounty programma, maar ook met veel PRs bij open-source projecten waaronder Nextcloud. Gaat veel tijd naar AI contributies.
Reageer
Zwaai Haai @Usselite22 april 2026 14:01
En eenzelfde probleem bij bezwaarschriften bij overheidsinstanties. Ieder bezwaarschrift wat een instantie behandelt wordt kost uiteindelijk geld. In dit geval dus kosten voor iedereen die ergens belasting betaalt. Je mag deze niet automatisch laten afhandelen.
Reageer
Cambionn 22 april 2026 13:59
Heel eerlijk? Ik vind het een redelijk slap excuus. Wij deden vroeger ook zelf de bug bounties op werk en ook voor AI was het grotendeels slop. Veelal Indiërs die standaard tooltjes over het hele web gooien en geautomatiseerd de domste dingen inschoten (tot het niveau "publiek bestand is publiek beschikbaar"). En dan nog boos worden op een net afkeurmailtje want ze hebben echt wel geld verdiend! Begbounties noemden we die 8)7.

Tegenwoordig gebruiken we Intigriti, die filtered alle troep eruit. Scheelt enorm veel werk. En dat werk besparen levert weer geld op. Als er te veel slop komt, zou ik eerder zo'n soort oplossing verwachten dan het helemaal stopzetten. Snap dat niet elk open source project zo'n dienst kan gaan gebruiken. Verwacht ik ook echt niet. Veelal zijn het kleine groepen of zelfs individueën met weinig budget.

Maar een NextCloud, die ook gewoon geld binnen krijgt vanuit een hoop bedrijven en commerciele partners enzo en inmiddels best wel groot is, heeft echt wel meer keuzes. Begrijp me niet verkeerd, er zal ongetwijfeld veel AI slop binnen komen. Maar er zijn voor NextCloud echt wel meer opties om daarmee te dealen dan simpelweg de stekker eruit. Het voelt voor mij als AI de schuld geven van je eigen kostenbesparingen. Lekker makkelijk, omdat veel mensen die fan zijn van NextCloud en FOSS toch al anti-AI zijn en er dus graag in mee gaan dat AI weer iets kapot maakt. Terwijl ik denk dat er wel wat meer nuance in zit in dit verhaal.
Reageer
Mellow Jack @Cambionn22 april 2026 14:56
Hoeveel krijgt nextcloud dan? Ik vraag me af hoeveel bedrijven die nextcloud leveren daadwerkelijk terugleveren / betalen.

Ze krijgen de laatste tijd pas veel geld binnen met als voorwaarde dat de ze veel features toevoegen ipv de basis verbeteren.

Ik ken persoonlijk 1 partij die iets teruglevert. Maar als je puur kijkt wat dat is dan heb ik daar zo mijn vraagtekens bij. Ipv hun eigen brakke backend te fixen gaan ze nextcloud aanpassen om daarmee te kunnen samenwerken.

[Reactie gewijzigd door Mellow Jack op 22 april 2026 14:57]

Reageer
Cambionn @Mellow Jack22 april 2026 16:24
Het zijn er echt wel meer dan die ene. Ik heb weleens met marketing mensen van NextCloud gepraat, maar deel kun je ook op hun eigen website terugvinden. Ze krijgen via partners die NextCloud als service aanbieden, resellen, etc best wel wat binnen. NextCloud wordt inmiddels via hun partners aan duizenden organisaties geleverd waaronder wat best wel grote. De investeringen met voorwaardes voor features komen daar bovenop. En daarnaast zijn er nog wat inkomstenbronnen.

NextCloud is uiteindelijk ook gewoon een commercieel bedrijf onder een GmbH, niet een non-profit zoals we veel in de open source wereld zien. Begrijp me niet verkeerd, het is een topbedrijf die een mooi stuk software maakt. Het zijn van een commercieel bedrijf is niet per se slecht, en ik zie ze liever op deze manier geld verdienen dan data stelen zoals Big Tech doet. Maar het is echt geen kleine partij zonder budget ofzo.

[Reactie gewijzigd door Cambionn op 22 april 2026 16:25]

Reageer
Nextcloud GmbH @Cambionn22 april 2026 18:02
Inderdaad, we hebben wel resources - we zijn nu met zo'n 160 mensen. Iets minder dan de helft ontwikkelaars geloof ik. Maar om nu 3-5 mensen full-time aan het werk te zetten om zich elke dag door een demotiverende hoeveelheid AI slob heen te werken, is dat nu echt het beste gebruik van onze tijd?

Je hebt gelijk dat er altijd best een grote hoeveelheid slob was - maar ons team vertelde dat we in het eerste kwartaal van dit jaar al net zoveel rapports kregen dan normaal in bijna 3 jaar en het aantal wat dagelijks binnen komt neemt nog steeds toe.

Dit is ook niet leuk werk om te doen, he, en wij zien het ook niet zitten om mensen als domme AI-slob-beoordelaars in te zetten. Dat is gewoon niet tof.

We hebben daarom heel wat dingen geprobeerd sinds ongeveer oktober 2025. een bepaalde reputatie vereisen, slob sluiten als spam (wat reputatie kost), mensen blokkeren en rapporteren bij H1, een ook wat automatisering (maar da's beperkt bij H1). En zoals genoemd - om screenshots, en daarna screencasts vragen... Het zette weinig zoden aan de dijk.

En het lullige is ook dat het natuurlijk moeilijker wordt om snel te reageren en goed om te gaan met serieuze rapports, dus het is ook niet goed voor de veiligheid.

Hopelijk vogelt iemand iets uit, de komende weken/maanden, dan gaan we met plezier terug naar het programma. Het geld is echt totaal het probleem niet, het is te tijd en energie die we kwijt zijn aan de slob...

EDIT: Jos hier ;-)

[Reactie gewijzigd door Nextcloud GmbH op 22 april 2026 18:02]

Reageer
Cambionn @Nextcloud GmbH22 april 2026 20:28
Hey Jos! Ik heb geen idee of ik jou persoonlijk al eens heb gesproken (lijkt me best interessant/gezellig dus als je me ooit tegen komt, voel je vrij hoi te zeggen). Fabrice van marketing ken ik iig wel, zaten o.a. samen in de Angry Nerds podcast :P.

Ik zeg ook niet dat jullie er zelf doorheen moeten spitten he. Ik geef juist aan dat daar ook andere oplossingen voor zijn, die dat stomme doorspitwerk voor je doen (door mensen, geen geautomatiseerd filtertje). Bij ons wordt dat gedaan door Intigriti, maar er zijn vast meer bug bounty platforms die dat leveren. Zo ver zijn we er blij mee op werk. Wij krijgen eigenlijk vrij weinig echte slob nog, vooral twijfelgevallen of het legit is of niet (en die kunnen we dan zelf bekijken en verifiëren). Wellicht een optie om naar te kijken, als je het graag weer opengooit.

Dat dat doorspitten niet leuk is weet ik, zoals gezegd dat deden wij voorheen ook dus ik ken het gevoel en snap dat je daar niet mee bezig wil zijn. Die "begbounties" waren echt nutteloos tijdverdrijf. Dát neem ik je echt niet kwalijk. Maar voor een bedrijf met resources zijn er meer opties dan zelf doorspitten met wellicht wat filters en je hele bug bounty programma sluiten ;).

Overigens kudos voor het lekker komen meepraten hier op Tweakers <3. Zoals ik al zei vind ik jullie al een leuk bedrijf, maar wordt er toch blij van wanneer bedrijven gewoon deel uit blijven maken van de community op zo'n manier.

[Reactie gewijzigd door Cambionn op 22 april 2026 20:59]

Reageer
Nextcloud GmbH @Cambionn23 april 2026 16:43
Ja, naar ik begrijp heeft H1 beperkte automatiseringsmogelijkheden. Wellicht dat https://www.intigriti.com/ beter is, ik zal het eens delen met het team.
Reageer
BSOD baby 22 april 2026 13:10
Wellicht kunnen ze kosten voor de scan op het gebruik van AI verhalen op de ingezonde AI-bugbountymeldingen (naderhand)? En als je niet betaalt, prima, maar dan wordt je hackerone-account geblokkeerd en kan je geen inzendingen meer doen.
Reageer
ggj87 22 april 2026 13:12
Moet je nagaan hoeveel energie er wel niet wordt verbruikt aan dit soort onzin. En dan heb je nog de memes, mensen die denken dat het een zoekmachine is, hele gesprekken voeren, etc. :/
Reageer
Skit3000 22 april 2026 13:24
Volgens mij kan je dit heel simpel oplossen door bij het aandragen van een security bug, de melder via een remote verbinding te laten tonen hoe dit uitgebuit kan worden. Neem dat op, spoel de video door naar de laatste 10 seconden en je ziet vanzelf of er daadwerkelijk een probleem was of niet.
Reageer
DJMaze 22 april 2026 13:52
Het grootste probleem is de Nextcloud code base.

De code is slecht en vol met regressies en loops, dat het geen wonder is dat AI er over struikelt en bugs rapporteert.

Het koste mij ooit dagen om bugs op te lossen omdat ik door veel bestanden moest loopen. En als je het dan had gevonden, geloofde de Nextcloud devs je niet omdat het veel te complex was.

Ik heb daarom de handdoek in de ring gegooid en gezegd "zoek het lekker uit joh".

Ik snap dus wel waarom ze moe worden van de AI reports. Ze kosten mega veel onderzoek werk om te controleren.
Reageer

Om te kunnen reageren moet je ingelogd zijn