Kategorien: AgentenNachrichten

KI-generierter Code ist hier zu bleiben. Sind wir dadurch weniger sicher?

Im Jahr 2025 entwickelt sich die Art und Weise, wie wir Software erstellen, rasant weiter. Coding besteht nicht mehr nur aus endlosen Zeilen und perfekten Semikolons. Entwickler arbeiten heute Seite an Seite mit KI-gesteuerten Assistenten - denken Sie an GitHub Copilot, Amazon CodeWhisperer, ChatGPT - um Apps schneller als je zuvor zu erstellen. Diese Verlagerung der Arbeitsabläufe, die manchmal auch als “Vibe Coding” bezeichnet wird, hat die Produktivität der Entwickler erhöht, aber auch neue Türen für Sicherheitsprobleme geöffnet.

Nehmen wir Sanket Saurav, den Gründer von DeepSource. Er ist besorgt darüber, dass sich Entwickler auf KI-generierten Code stützen, ohne wirklich zu prüfen, was unter der Haube steckt. Seine Befürchtung? Schwachstellen könnten sich unentdeckt einschleichen, ähnlich wie bei der großen Sicherheitslücke bei SolarWinds im Jahr 2020. Gründliche Codeüberprüfung und statische Analyse sind seiner Meinung nach heute wichtiger denn je, um riskante Codierungsmuster zu erkennen, bevor sie zu großen Problemen werden.

KI-Codegeneratoren können entscheidende Details übersehen. Sie können Code-Bibliotheken missbrauchen oder sogar halluzinieren, indem sie sich Bibliotheken ausdenken, die es gar nicht gibt, oder alte, gefährliche Bibliotheken vorschlagen. Außerdem gibt es das “Slopsquatting”, bei dem Angreifer bösartige Pakete mit Namen einfügen, die beliebten Bibliotheken ähneln. Wenn eine KI die falschen Abhängigkeiten einbindet, könnte sie Hackern Tür und Tor öffnen.

Professor Rafael Khoury von der Université du Québec en Outaouais hat sich mit diesen Fragen beschäftigt. Seine Forschung zeigt, dass KI schnell unsicheren Code generiert, wenn man ihr nicht genügend Kontext gibt. Aber er sieht Hoffnung: die Kombination von Methoden wie FLAG (Finding Line Anomalies with Generative AI) mit Sicherheitsüberprüfungen. Im Wesentlichen erkennt FLAG verdächtige Zeilen in KI-generiertem Code, die Teams dann doppelt überprüfen oder die KI bitten können, den Code zu verbessern. Es ist kein Allheilmittel, aber es kann das Problem der Schwachstellen ein wenig eindämmen.

Dennoch können sich die Menschen nicht einfach zurücklehnen. Kevin Hou, der bei Windsurf die Produktentwicklung leitet, ist der Meinung, dass Projekte in kleinere, leicht verdauliche Häppchen aufgeteilt werden sollten. Das macht es einfacher, die Ergebnisse der KI zu überprüfen, besser zu testen und Unregelmäßigkeiten zu erkennen, bevor sie sich ausbreiten.

Das Team von Windsurf hat bereits über 5 Milliarden KI-generierte Zeilen gesehen und weiß, dass die Qualität leicht nachlassen kann. Um ihre Entwickler zu informieren und zu beschäftigen, konzentrieren sie sich stark auf die Benutzererfahrung - sie machen die Tools übersichtlich, zeigen den Kontext zum richtigen Zeitpunkt auf und stellen sicher, dass jede Codeänderung leicht zu verstehen und zu überprüfen ist.

Im Zeitalter des “Vibe Coding” sind Geschwindigkeit und Komfort verlockend. Aber es ist wichtig, die Sicherheit nicht zu vernachlässigen. Halluzinierte Bibliotheken, Slopsquatting und altmodische Fehler sind reale Risiken, aber es gibt auch Schutzmaßnahmen: intelligente Tools, aufmerksame Überprüfung und eine gesunde Skepsis gegenüber KI-Vorschlägen.

Die Quintessenz? Behandeln Sie AI als Teammitglied, nicht als Ersatz. Überprüfen Sie, was sie schreibt. Testen Sie es. Vertrauen Sie, aber überprüfen Sie immer. Das ist der beste Weg nach vorn, denn die Programmierung wird von Jahr zu Jahr intelligenter - und riskanter.

Lesen Sie die ganze Geschichte unter: https://www.techtarget.com/searchsecurity/tip/Security-risks-of-AI-generated-code-and-how-to-manage-them

Max Krawiec

Teilen Sie
Herausgegeben von
Max Krawiec

Diese Website verwendet Cookies.