Vernetzen Sie sich mit uns

Vordenker

KI-generierter Code wird uns erhalten bleiben. Sind wir dadurch weniger sicher?

mm
Veröffentlicht

Beim Programmieren im Jahr 2025 geht es nicht mehr darum, sich mit Fragmenten abzumühen oder stundenlang Fehler zu beheben. Es herrscht eine ganz andere Atmosphäre. KI-generierter Code Der Großteil des Codes in zukünftigen Produkten wird ausmachen und ist zu einem unverzichtbaren Werkzeug für moderne Entwickler geworden. Die Verwendung von Code, der mit Tools wie Github Copilot, Amazon CodeWhisperer und Chat GPT generiert wird, wird als „Vibe-Coding“ bezeichnet und wird die Regel und nicht die Ausnahme sein, um die Build-Zeit zu verkürzen und die Effizienz zu steigern. Doch birgt der Komfort von KI-generiertem Code auch eine größere Bedrohung? Erhöht generative KI die Schwachstellen in der Sicherheitsarchitektur oder gibt es Möglichkeiten für Entwickler, „Vibe-Code“ für mehr Sicherheit zu verwenden?

„Sicherheitsvorfälle aufgrund von Schwachstellen in KI-generiertem Code gehören heute zu den am wenigsten diskutierten Themen“, sagte Sanket Saurav, Gründer von DeepSource. „Es gibt immer noch viel Code, der von Plattformen wie Copilot oder Chat GPT generiert wird und nicht von Menschen überprüft wird. Sicherheitsverletzungen können für betroffene Unternehmen katastrophale Folgen haben.“

Der Entwickler einer Open-Source-Plattform, die statische Analysen für Codequalität und Sicherheit verwendet, zitierte Saurav der SolarWinds-Hack im Jahr 2020 als die Art von „Aussterbeereignis“, mit dem Unternehmen konfrontiert werden könnten, wenn sie bei der Verwendung von KI-generiertem Code nicht die richtigen Sicherheitsvorkehrungen getroffen haben. „Statische Analyse ermöglicht die Identifizierung unsicherer Codemuster und schlechter Codierungspraktiken“, sagte Saurav.

Angriff durch die Bibliothek

Sicherheitsbedrohungen für KI-generierten Code können kreative Formen annehmen und sich gegen Bibliotheken richten. Bibliotheken in der Programmierung sind nützlicher, wiederverwendbarer Code, den Entwickler nutzen, um beim Schreiben Zeit zu sparen. 

Sie lösen häufig reguläre Programmieraufgaben wie die Verwaltung von Datenbankinteraktionen und ersparen Programmierern, Code von Grund auf neu schreiben zu müssen. 

Eine solche Bedrohung für Bibliotheken sind sogenannte „Halluzinationen“. Dabei weist KI-generierter Code durch die Verwendung fiktiver Bibliotheken eine Schwachstelle auf. Eine weitere, neuere Angriffslinie auf KI-generierten Code heißt „Slopsquatting“. Dabei können Angreifer Bibliotheken gezielt angreifen, um in eine Datenbank einzudringen. 

Um diesen Bedrohungen direkt zu begegnen, ist möglicherweise mehr Achtsamkeit erforderlich, als der Begriff „Vibe Coding“ vermuten lässt. Professor Rafael Khoury, der von seinem Büro an der Université du Québec en Outaouais aus spricht, verfolgt die Entwicklungen im Bereich der Sicherheit von KI-generiertem Code aufmerksam und ist zuversichtlich, dass neue Techniken dessen Sicherheit verbessern werden. 

In ein 2023-PapierProfessor Khoury untersuchte die Ergebnisse, wenn ChatGPT aufgefordert wurde, Code ohne weiteren Kontext oder Informationen zu produzieren – eine Vorgehensweise, die zu unsicherem Code führte. Dies waren die Anfänge von Chat GPT, und Khoury blickt optimistisch in die Zukunft. „Seitdem wird derzeit viel Forschung betrieben, und wir suchen nach einer Strategie für die Nutzung des LLM, die zu besseren Ergebnissen führen könnte“, sagte Khoury und fügte hinzu: „Die Sicherheit wird besser, aber wir sind noch nicht an einem Punkt, an dem wir eine direkte Eingabeaufforderung geben und sicheren Code erhalten können.“ 

Khoury beschrieb weiter eine vielversprechende Studie Dort wurde Code generiert und anschließend an ein Tool gesendet, das ihn auf Schwachstellen analysiert. Die Methode des Tools heißt „Finding Line Anomalies with Generative AI“ (kurz: FLAG).

„Diese Tools senden FLAGs, die beispielsweise eine Schwachstelle in Zeile 24 identifizieren könnten, die ein Entwickler dann mit den Informationen an das LLM zurücksenden und es bitten kann, sich das anzusehen und das Problem zu beheben“, sagte er. 

Khoury meinte, dieser Austausch könne entscheidend sein, um anfälligen Code zu reparieren. „Diese Studie legt nahe, dass sich die Schwachstellen mit fünf Iterationen auf null reduzieren lassen.“ 

Allerdings ist die FLAG-Methode nicht unproblematisch, da sie sowohl zu falsch positiven als auch zu falsch negativen Ergebnissen führen kann. Darüber hinaus ist die Länge des von LLMs erstellbaren Codes begrenzt, und das Zusammenfügen von Fragmenten kann ein zusätzliches Risiko darstellen.

Den Menschen im Blick behalten

Einige Akteure im Bereich „Vibe Coding“ empfehlen, Code zu fragmentieren und sicherzustellen, dass Menschen bei den wichtigsten Änderungen einer Codebasis im Mittelpunkt stehen. „Denken Sie beim Schreiben von Code in Commits“, rät Kevin Hou, Leiter der Produktentwicklung bei Windsurf, und pries die Vorteile mundgerechter Häppchen.

„Teilen Sie ein großes Projekt in kleinere Teile auf, die normalerweise Commits oder Pull Requests wären. Lassen Sie den Agenten die kleineren Teile erstellen, jeweils ein isoliertes Feature. So stellen Sie sicher, dass der ausgegebene Code gut getestet und verstanden wird“, fügte er hinzu. 

Zum Zeitpunkt des Schreibens dieses Artikels verfügte Windsurf (unter seinem früheren Namen Codeium) über fast 5 Milliarden Zeilen KI-generierten Code. Hou sagte, die drängendste Frage, die sie beantworten mussten, sei, ob der Entwickler sich des Prozesses bewusst sei. 

„Die KI ist in der Lage, viele Änderungen an vielen Dateien gleichzeitig vorzunehmen. Wie können wir also sicherstellen, dass der Entwickler tatsächlich versteht und überprüft, was vor sich geht, anstatt einfach alles blind zu akzeptieren?“, fragte Hou und fügte hinzu, dass sie massiv in die UX von Windsurf investiert hätten, „mit einer Menge intuitiver Möglichkeiten, um mit dem, was die KI tut, vollständig Schritt zu halten und den Menschen voll auf dem Laufenden zu halten.“

Deshalb ist als „Vibe-CodierungDa „Thema“ immer mehr zum Mainstream wird, müssen die Beteiligten vorsichtiger mit seinen Schwachstellen umgehen. Von „Halluzinationen“ bis hin zu „Slopsquatting“-Bedrohungen: Die Herausforderungen sind real, aber auch die Lösungen. 

Neue Tools wie statische Analyse, iterative Verfeinerungsmethoden wie FLAG und durchdachtes UX-Design zeigen, dass Sicherheit und Geschwindigkeit sich nicht gegenseitig ausschließen müssen. 

Der Schlüssel liegt darin, Entwickler zu motivieren, zu informieren und ihnen die Kontrolle zu geben. Mit den richtigen Leitplanken und einer „Vertrauen ist besser als Kontrolle“-Mentalität kann KI-gestütztes Programmieren sowohl revolutionär als auch verantwortungsvoll sein.

Verwandte Themen:
mm

Arjun Harindranath ist ein freiberuflicher Journalist aus Medellín, Kolumbien. Er berichtet für ein globales Publikum über Konflikte, Migration und Technologie. Zuvor war er für Al Jazeera, TechCrunch, The Next Web und die New York Times tätig.