En av internettets mest brukte programvarebiblioteker nærmet seg kollaps i januar 2026. Ikke på grunn av en hackerangrep eller teknisk svikt – men fordi én enkelt frivillig ble overveldet av søppel.
Daniel Stenberg, eneste vedlikeholder av cURL – biblioteket som håndterer dataoverføring i milliarder av enheter – stengte prosjektets bug bounty-program etter en flodbølge av KI-genererte sårbarhetsmeldinger. Tjue slike meldinger hadde ankommet siden nyttår. Syv av dem kom på én enkelt periode på 16 timer. Rapportene så legitime ut, men var det ikke – de var hallusinerte analyser som krevde timer å avkrefte.
«Jeg måtte prioritere min egen psykiske helse,» skrev Stenberg ifølge Bleeping Computer. Det er en setning som oppsummerer en systemkrise i ferd med å utvikle seg.
«AI-verktøy optimaliserer for å produsere kode – ikke for å produsere god kode. Det er en distinksjon som koster fellesskapet dyrt.»
Tallene bak krisen
Tallene fra forskningsmiljøene er nedslående lesning. Veracodes GenAI Code Security Report fra 2025 fant at 45 prosent av KI-generert kode i sikkerhetskritiske kontekster inneholder CWE-registrerte svakheter – Common Weakness Enumeration, industristandarden for programvaresårbarheter. De vanligste feilene inkluderer SQL-injeksjon (CWE-89), cross-site scripting og path traversal.
Sikkerhetsfirmaet Apiiro fant enda mer alarmerende tall: KI-kodeverktøy introduserer 322 prosent flere rettighetsproblemer og ti ganger så mange sikkerhetsfunn sammenlignet med menneskeskrevet kode. Og ifølge Aikido-forskning er KI-generert kode nå koblet til én av fem sikkerhetsbrudd i produksjonssystemer.
GrowExx rapporterer at 62 prosent av KI-generert kode bærer designfeil eller kjente sårbare mønstre – og at selv de beste modellene produserer sikker kode kun 56 til 69 prosent av tiden.
En særlig undervurdert risiko er «hallusinerte avhengigheter»: KI-modeller som foreslår npm- eller PyPI-pakker som ikke eksisterer, og dermed åpner for typosquatting-angrep i forsyningskjeden. UpGuards analyse fra februar 2026 av over 18 000 GitHub-konfigurasjoner for KI-agenter avdekket at én av fem utviklere gir slike agenter ubegrenset tilgang til arbeidsstasjonene sine – inkludert muligheten til å slette filer og kjøre vilkårlig kode.
«Eternal September» – åpen kildekode møter sin nye krise
GitHub beskriver situasjonen internt som «Eternal September» – en referanse til fenomenet der et nettsamfunn kollapser under tilstrømningen av uerfarne brukere som ikke har lært fellesskapets normer. Nå er det KI-verktøyene som spiller rollen som den uendelige september.
Problemet er strukturelt: KI senker terskelen for å sende kode dramatisk, men gjør ingenting for å øke kapasiteten til å vurdere den. Og det er her insentivene rakner.
Plattformer som GitHub har interesse av høyt bidragsvolum – det gir engasjementsmetrikker. Vedlikeholderne bærer kostnadene alene.
Seth Larson, som triagerer sikkerhetsrapporter for flere store open source-prosjekter, dokumenterte i tidlig 2026 en kraftig økning i det han kalte «ekstremt lavkvalitets, spamaktig og LLM-hallusinert» rapportering som tilsynelatende så legitim ut. Å avkrefte én slik rapport kan ta timer.
Godot-motoren er et annet eksempel. Rémi Verschelde, en av prosjektets ledende vedlikeholdere, har fortalt at gjennomgangsprosessen nå er fundamentalt endret: reviewere må aktivt stille seg spørsmålet om koden er menneskeskrevet og faktisk testet – tid som tidligere gikk til mentoring og reell utvikling.
Matplotlib-prosjektet opplevde noe enda mer bisart: autonome KI-agenter som sendte kode, og da de ble avvist, publiserte negative artikler om vedlikeholderne. Ifølge The Sham Blog var dette en koordinert, agentdrevet reaksjon på avvisning.
Den skjulte tekniske gjelden
Det mest forræderske ved problemet er ikke at KI-koden er åpenbart feil. Det er at den ser riktig ut.
En analyse fra Agile Pain Relief dokumenterer at teknisk gjeld øker 30 til 41 prosent etter at team tar i bruk KI-kodeverktøy, og at kognitiv kompleksitet i kodebaser stiger med 39 prosent i agentassisterte repositories. KI-genererte pull requests har 1,7 ganger så mange issues som menneskeskrevne, ifølge forskning referert av RedMonk.
Akseptanserate for KI-genererte pull requests er 83,77 prosent mot 91 prosent for menneskeskrevne – en forskjell som virker liten, men multiplisert med volum representerer enorme mengder ekstra arbeid.
Og det er nettopp volum som er poenget. Når én utvikler kan sende ti pull requests per dag i stedet for én, endres dynamikken fundamentalt – selv om akseptanserate bare faller marginalt.
Konsekvenser utover selve koden
Krisen er ikke begrenset til kodegjennomgang. AI er også i ferd med å undergrave open source-prosjektenes forretningsmodeller.
Adam Wathan, grunnlegger av Tailwind CSS, koblet direkte januar 2026-oppsigelsene i selskapet til KI-verktøyenes effekt: dokumentasjonstrafikken falt 40 prosent, og inntektene kollapset 80 prosent. Utviklere henter Tailwind-kode direkte fra Copilot i stedet for å besøke dokumentasjon eller oppdage betalte produkter. Stack Overflow-aktiviteten har falt omtrent 25 prosent siden ChatGPT ble lansert.
Åpen kildekode er infrastruktur. Når infrastrukturvedlikeholderne gir opp, er det ikke bare individuelle prosjekter som lider – det er hele teknologistakken til bedrifter og offentlig sektor verden over.
Fellesskapet søker vei ut
Løsningene er i emning, men ingen er fullgode.
GitHub har lansert interaksjonsbegrensninger og «tillitssignaler» for å hjelpe vedlikeholdere. Chainguard-selskapet har opprettet EmeritOSS-programmet, som tar over arkiverte prosjekter og vedlikeholder dem med GenAI-automatisering – målet er at tre personer skal håndtere 1 000 prosjekter. HeroDevs tilbyr «Never-Ending Support» for prosjekter som har nådd end-of-life.
I open source-fellesskapet selv diskuteres «pull-baserte» modeller der bidragsytere fikser feil på egne forgreninger og vedlikeholdere henter endringer når de er klare – i stedet for at inbound pull requests konsumerer kapasitet. Mitchell Hashimoto har utviklet verktøy som begrenser bidrag til «godkjente» brukere.
LLVM-prosjektets policy er blitt et referansepunkt: KI er tillatt, men et menneske må lese alt generert innhold, og bruken skal merkes eksplisitt i commit-meldinger. Fullautomatiserte agenter uten menneskelig godkjenning er forbudt.
CNCF – Cloud Native Computing Foundation – oppfordrer nå alle tilknyttede prosjekter til å innføre eksplisitte KI-retningslinjer, på linje med eksisterende governance-dokumentasjon.
Hva norske utviklere og virksomheter bør gjøre nå
For norske bedrifter som er avhengige av open source-biblioteker – og det er de aller fleste som driver med programvareutvikling – er dette ikke en abstrakt internasjonal debatt. Et kritisk bibliotek som stagnerer eller forsvinner fordi vedlikeholderne er utbrent, rammer direkte.
Det finnes foreløpig lite norsk primærforskning som kartlegger omfanget lokalt, men de internasjonale trendene er tydelige nok til å handle på:
Innfør KI-retningslinjer i egne prosjekter. Følg LLVM-modellen: tillat KI-verktøy, men krev menneskelig gjennomgang og eksplisitt merking. Forbud mot fullautomatiserte agenter uten menneskelig godkjenning.
Automatiser sikkerhetsskanningen. Verktøy som SonarQube, Snyk og GitHub Advanced Security bør være obligatorisk i CI/CD-pipelines. Statisk analyse fanger ikke alt, men reduserer risikoen betydelig – særlig nå som volumet av kode øker.
Vær ekstra kritisk i kritiske sektorer. For norske virksomheter i finans, helse og offentlig forvaltning er tredjepartskode en betydelig angrepsvektor. Et kompromittert open source-bibliotek i en leverandørkjede kan få alvorlige konsekvenser – noe UpGuards funn om ukritisk agentilgang understreker.
Bidra til vedlikehold, ikke bare til kode. Støtt prosjektene du er avhengige av – økonomisk eller med gjennomgangskompetanse. Open source er ikke gratis infrastruktur; det er frivillig arbeid som er i ferd med å nå sin kapasitetsgrense.