Wer ist für KI-generierten Code verantwortlich: Ein Überblick über den Veracode-Bericht 2025
News | 04.08.2025
Künstliche Intelligenz (KI) verändert die Landschaft der Softwareentwicklung dramatisch. Werkzeuge, die auf großen Sprachmodellen (LLMs) basieren, ermöglichen es Entwicklern, Code aus einfachen Textaufforderungen zu generieren und so die Arbeitsabläufe erheblich zu beschleunigen. Aber führt diese Geschwindigkeit zu inakzeptablen Risiken? Veracode, ein weltweit führendes Unternehmen im Bereich Anwendungssicherheit, hat eine tiefgehende Untersuchung durchgeführt, um diese für heutige Technologieführer entscheidende Frage zu beantworten.
Die im "2025 GenAI Code Security Report" veröffentlichten Ergebnisse sind eindeutig: Im Durchschnitt enthalten 45 % des mit LLMs erstellten Codes Sicherheitslücken. Diese Statistik stellt eine bedeutende neue Angriffsfläche für Unternehmen dar.
Das Kernproblem: KI lernt von unsicheren Beispielen
Der Hauptgrund für diese hohe Fehlerquote ist, dass große Sprachmodelle von riesigen Datenmengen lernen, einschließlich Milliarden von Codezeilen aus Open-Source-Repositories. Ein erheblicher Teil dieser Trainingsdaten ist selbst nicht sicher. Die Modelle replizieren die Muster, die sie aufgenommen haben, ohne das kontextbezogene Bewusstsein, zwischen sicheren Codierungspraktiken und potenziellen Sicherheitslücken zu unterscheiden. Ein Entwickler fordert Funktionalität an, und die KI liefert, aber die Wahl zwischen einer sicheren und einer unsicheren Implementierung bleibt dem Ermessen des Modells überlassen.
Wichtige Erkenntnisse für Technologieführer
Die Untersuchung identifizierte mehrere wichtige Trends, die die Strategie jedes CISOs und CTOs für eine sichere Entwicklung im KI-Zeitalter beeinflussen sollten.
- Neuere Modelle sind nicht zwangsläufig sicherer. Während KI-Modelle beim Schreiben von syntaktisch korrektem Code besser werden, bleibt ihre Fähigkeit, Sicherheit zu gewährleisten, konstant niedrig. Selbst die neuesten und größten Modelle zeigen keine signifikanten Fortschritte bei der Generierung von sicherem Code, was bedeutet, dass Führungskräfte nicht einfach darauf vertrauen können, dass Tool-Upgrades dieses Risiko mindern.
- Das Risiko variiert stark je nach Schwachstellentyp. Die Modelle schneiden bei der Vermeidung gängiger Schwachstellen wie SQL-Injection recht gut ab. Bei kontextabhängigen Fehlern wie Cross-Site-Scripting (XSS) ist die Situation jedoch katastrophal – nur 12-13 % des generierten Codes sind sicher. Dies liegt daran, dass der Schutz vor solchen Angriffen ein Verständnis des gesamten Anwendungskontexts erfordert, was derzeit die Fähigkeiten von LLMs übersteigt.
- Die Wahl der Programmiersprache hat Auswirkungen. Die Studie zeigte, dass Code in Java signifikant unsicherer war (nur 28,5 % Erfolgsquote) als Code, der für Python, C# und Javascript generiert wurde. Dies ist wahrscheinlich auf die lange Geschichte von Java und die große Anzahl veralteter, unsicherer Codebeispiele in den Trainingsdaten zurückzuführen.
Vollständigen Bericht herunterladen: GenAI Code Security Report
Strategische Empfehlungen für CISO und CTO
KI ist ein leistungsfähiger Assistent, aber kein Ersatz für Fachwissen und eine robuste Governance. Der Veracode-Bericht macht deutlich, dass von künstlicher Intelligenz generierter Code eine obligatorische Überprüfung im Rahmen des Softwareentwicklungs-Lebenszyklus (SDLC) erfordert.
- Legen Sie klare KI-Nutzungsrichtlinien fest. Gestatten Sie nicht die Ad-hoc-Einführung von KI-Codierungswerkzeugen. Definieren Sie, welche Tools genehmigt sind, und schreiben Sie vor, dass jeder von KI generierte Code als nicht vertrauenswürdig behandelt wird, vergleichbar mit Code aus einer ungeprüften Drittanbieter-Bibliothek.
- Integrieren Sie automatisierte Sicherheitstests. Statische Anwendungssicherheitstests (SAST) müssen in den Entwicklungsworkflow integriert werden. Diese Tools können Schwachstellen automatisch während der Codierungsphase erkennen, bevor sie die Produktion erreichen.
- Priorisieren Sie die Sicherheitsschulung für Entwickler. Im Zeitalter der KI wird das Verständnis der grundlegenden Prinzipien der sicheren Entwicklung noch wichtiger. Ihr Team muss in der Lage sein, die von der KI eingeführten Mängel zu erkennen und zu beheben.
Softprom ist der offizielle Distributor von Veracode in Armenien, Aserbaidschan, Bulgarien, Deutschland, Georgien, Griechenland, Kasachstan, Moldawien, Österreich, Polen, Rumänien, der Slowakei, der Tschechischen Republik, der Ukraine, Ungarn und Usbekistan. Wir bieten Zugang zu fortschrittlichen Werkzeugen und Fachwissen zum Schutz Ihres Codes. Um einen robusten, sicheren Entwicklungsprozess im KI-Zeitalter zu implementieren, fordern Sie noch heute eine Beratung mit unseren Experten an.
Teilen:
