Fast jeder zweite KI-generierte Code hat teils schwere Sicherheitslücken
KI-Code ist offenbar ein großes Risiko, denn er bringt häufig erhebliche Sicherheitslücken mit sich: Eine aktuelle Studie zeigt, dass 45 Prozent aller KI-generierten Codes Schwachstellen enthalten. Java erweist sich als besonders problematisch.
Das Phänomen des "Vibe Coding" verstärkt diese Problematik zusätzlich. Hier verlassen sich Entwickler auf KI-generierte Codes, ohne explizit Sicherheitsanforderungen zu definieren. Diese Praxis hat sich in der Entwicklergemeinschaft etabliert, da KI-Tools wie GitHub Copilot, ChatGPT oder Claude schnell funktionierenden Code liefern - jedoch ohne Berücksichtigung von Sicherheitsaspekten.
Andere wichtige Sprachen wie Python, C# und JavaScript zeigten ebenfalls erhebliche Risiken mit Ausfallraten zwischen 38 und 45 Prozent. Python, oft als einsteigerfreundlich beworben, wies dabei überraschend hohe Sicherheitsmängel auf, insbesondere bei der Eingabevalidierung und dem Umgang mit externen Datenquellen.
Besonders schlecht schnitten die KI-Modelle bei der Abwehr von Cross-Site-Scripting (XSS) und Log-Injection-Angriffen ab, wobei sie in 86 beziehungsweise 88 Prozent der Fälle versagten. XSS-Angriffe ermöglichen es Hackern, schädlichen Code in Webseiten einzuschleusen, während Log-Injection-Angriffe die Systemprotokollierung manipulieren können.
Ein überraschendes Ergebnis der Untersuchung: Größere KI-Modelle schneiden nicht signifikant besser ab als kleinere Modelle, was darauf hindeutet, dass es sich um ein systemisches Problem und nicht um ein Skalierungsproblem handelt. Während die Modelle besser darin wurden, funktionsfähigen oder syntaktisch korrekten Code zu schreiben, verbesserte sich ihre Sicherheitsleistung nicht und blieb unabhängig von Modellgröße oder Trainingsaufwand konstant. Diese Erkenntnis stellt die durchaus weitverbreitete Annahme infrage, dass größere und teurere KI-Modelle automatisch bessere Ergebnisse liefern.
Cyberkriminelle nutzen bereits KI-Tools, um automatisiert nach Schwachstellen zu suchen und maßgeschneiderte Angriffe zu entwickeln. Die Kombination aus unsicherem, KI-generiertem Code und KI-gestützten Angriffsmethoden schafft ein gefährliches Szenario für die Cybersicherheit.
Wie steht ihr zu KI-generiertem Code in euren Projekten? Setzt ihr bereits Sicherheitstools ein oder verlasst ihr euch auf manuelle Überprüfungen? Teilt eure Erfahrungen in den Kommentaren mit.
Siehe auch:
KI-generierter Code ist unsicherer als gedacht
Künstliche Intelligenz kann beim Programmieren zwar enorm praktisch sein und produziert auch funktionsfähigen Code, führt aber in 45 Prozent der Fälle Sicherheitslücken ein. Besonders besorgniserregend: Wenn KI-Modelle zwischen einer sicheren und unsicheren Methode zum Code-Schreiben wählen konnten, entschieden sie sich in 45 Prozent der Fälle für die unsichere Variante.Das Phänomen des "Vibe Coding" verstärkt diese Problematik zusätzlich. Hier verlassen sich Entwickler auf KI-generierte Codes, ohne explizit Sicherheitsanforderungen zu definieren. Diese Praxis hat sich in der Entwicklergemeinschaft etabliert, da KI-Tools wie GitHub Copilot, ChatGPT oder Claude schnell funktionierenden Code liefern - jedoch ohne Berücksichtigung von Sicherheitsaspekten.
Das Hauptproblem bei diesem Trend ist, dass Entwickler keine Sicherheitsbeschränkungen spezifizieren müssen, um den gewünschten Code zu erhalten, wodurch sichere Programmierungsentscheidungen effektiv den LLMs überlassen werden.Der umfassende Veracode-Report untersuchte über 100 große Sprachmodelle verschiedener Anbieter und analysierte 80 sorgfältig kuratierte Programmieraufgaben mithilfe des MITRE Common Weakness Enumeration (CWE) Systems.
Java als größtes Sicherheitsrisiko
Java erwies sich als die riskanteste Programmiersprache für KI-Codegenerierung mit einer Sicherheitsausfallrate von über 70 Prozent. Dies ist besonders problematisch, da Java eine der meistverwendeten Programmiersprachen in Unternehmensumgebungen ist und häufig für kritische Anwendungen eingesetzt wird. Die hohe Ausfallrate könnte auf die Komplexität der Java-Sicherheitsmodelle und die Vielzahl möglicher Konfigurationsfehler zurückzuführen sein.Andere wichtige Sprachen wie Python, C# und JavaScript zeigten ebenfalls erhebliche Risiken mit Ausfallraten zwischen 38 und 45 Prozent. Python, oft als einsteigerfreundlich beworben, wies dabei überraschend hohe Sicherheitsmängel auf, insbesondere bei der Eingabevalidierung und dem Umgang mit externen Datenquellen.
Besonders schlecht schnitten die KI-Modelle bei der Abwehr von Cross-Site-Scripting (XSS) und Log-Injection-Angriffen ab, wobei sie in 86 beziehungsweise 88 Prozent der Fälle versagten. XSS-Angriffe ermöglichen es Hackern, schädlichen Code in Webseiten einzuschleusen, während Log-Injection-Angriffe die Systemprotokollierung manipulieren können.
Ein überraschendes Ergebnis der Untersuchung: Größere KI-Modelle schneiden nicht signifikant besser ab als kleinere Modelle, was darauf hindeutet, dass es sich um ein systemisches Problem und nicht um ein Skalierungsproblem handelt. Während die Modelle besser darin wurden, funktionsfähigen oder syntaktisch korrekten Code zu schreiben, verbesserte sich ihre Sicherheitsleistung nicht und blieb unabhängig von Modellgröße oder Trainingsaufwand konstant. Diese Erkenntnis stellt die durchaus weitverbreitete Annahme infrage, dass größere und teurere KI-Modelle automatisch bessere Ergebnisse liefern.
KI als Waffe für Cyberkriminelle
Die Studie verdeutlicht auch eine weitere Gefahr: KI ermöglicht es Angreifern, Sicherheitslücken schneller und effektiver zu identifizieren und auszunutzen. KI-gestützte Tools können Systeme im großen Maßstab scannen, Schwachstellen identifizieren und sogar Exploit-Code mit minimalem menschlichem Aufwand generieren. Das senkt die Einstiegshürde für weniger qualifizierte Angreifer erheblich.Cyberkriminelle nutzen bereits KI-Tools, um automatisiert nach Schwachstellen zu suchen und maßgeschneiderte Angriffe zu entwickeln. Die Kombination aus unsicherem, KI-generiertem Code und KI-gestützten Angriffsmethoden schafft ein gefährliches Szenario für die Cybersicherheit.
Wie steht ihr zu KI-generiertem Code in euren Projekten? Setzt ihr bereits Sicherheitstools ein oder verlasst ihr euch auf manuelle Überprüfungen? Teilt eure Erfahrungen in den Kommentaren mit.
Zusammenfassung
- 45 Prozent aller KI-generierten Codes enthalten Sicherheitslücken
- KI-Modelle wählen in 45 Prozent der Fälle unsichere Codiermethoden
- Java ist mit über 70 Prozent Ausfallrate die riskanteste KI-Sprache
- XSS und Log-Injection-Angriffe bereiten KI-Systemen die größten Probleme
- Größere KI-Modelle zeigen keine besseren Sicherheitsergebnisse
- KI ermöglicht Angreifern effektivere Identifikation von Schwachstellen
- Vibe Coding ignoriert wichtige Sicherheitsanforderungen bei KI-Entwicklung
Siehe auch:
- Menschen entlarven KI-Fotos nur zu 62% - Microsoft bietet Selbsttest an
- YouTube: KI soll Alter der Nutzer erraten und nicht Jugendfreies sperren
- Microsoft: Diese 40 Berufe sind am meisten/wenigsten von KIs bedroht
- Edge wird zum KI-Browser: Microsoft startet neuen Copilot-Modus
- Meta soll Pornos per Torrent geklaut und für KI-Training genutzt haben
Thema:
Videos zum Thema KI
-
KI hält in Kameras Einzug: Was sie dort tut und was es bringt
-
Super Bowl 2026: OpenAI lässt uns mit Codex Neues erschaffen
-
Super Bowl 2026: Claude verrät, wie man einen Sixpack bekommt
-
Super Bowl 2026: Oakley Meta-Brillen halten epische Sportmomente fest
-
Super Bowl 2026: Base44 zeigt, wie KI jeden zum Programmierer macht
Beiträge aus dem Forum
Interessante Links
Neue Nachrichten
- Wird Windows Version 27H2 das größte Update seit Langem?
- Kunde zahlt RTX 5070, doch Amazon liefert nur einen alten DVD-Brenner
- Disney+ europaweit eingeschränkt: Dolby-Vision-Streit geht weiter
- Nach Flugzeugabsturz: Spielebranche trauert um Ubisoft-Gründer
- Galaxy Watch 9 & Ultra 2: Leak enthüllt Design der neuen Smartwatches
- Neue Weekend-Deals sind da: Media Markt & Saturn senken die Preise
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon
Alle Kommentare zu dieser News anzeigen