No Code dank AI verspricht schnelles Programmieren zum Nulltarif. Doch ohne menschliche Visitation können sich ganz schnell Lücken und Schwachstelen auftun. Das zeigt eine neue Analyse von Armis Labs.
Der zunehmende Einsatz von AI-gestützten Tools für die Softwareentwicklung verspricht schnelle Erfolge. Die Schattenseite sind Sicherheitslücken im Code. Das zeigt eine neue Analyse von Armis Labs.
„Ein interessantes Beispiel aus dem jüngsten Bericht ist DeepSeek Coder, ein AI-basierter Codeassistent, der Entwicklungsprozesse beschleunigen soll. In einem simulierten Szenario nutzte ein Entwicklerteam DeepSeek, um Code und externe Bibliotheken automatisch auszuwählen – mit Fokus auf Geschwindigkeit statt Sorgfalt. Das Ergebnis: schwerwiegende Sicherheitslücken“, so Michael Freeman, Head of Threat Intelligence bei Armis. „Die AI empfahl Drittanbieter-Bibliotheken mit bekannten, ausnutzbaren Schwachstellen und erzeugte Quellcode mit zahlreichen gängigen Sicherheitsfehlern. Insgesamt wies die resultierende Anwendung 18 verschiedene Probleme aus der CWE-Top-25-Liste der kritischsten Software-Schwachstellen auf.“
Zu den kritischen Problemen zählten etwa veraltete PDF- und Logging-Bibliotheken mit Anfälligkeit für die Ausführung beliebigen Codes (CWE-94), unsichere Deserialisierung (CWE-502) und fehlerhafte kryptografische Implementierungen (CWE-321). Ebenfalls besorgniserregend waren Schwachstellen direkt im generierten Code, darunter Cross-Site-Scripting (CWE-79), SQL-Injection (CWE-89), Buffer Overflows (CWE-119) sowie unzureichende Authentifizierung und Zugriffskontrolle (CWE-287, CWE-306). All diese Sicherheitsprobleme sind bekannt und potenziell gravierend – doch die AI erkannte oder verhinderte sie nicht.
Damit wurde klar: AI-gestützte Code-Assistenten sind nur so verlässlich wie ihre Trainingsdaten sowie ihr Design. „Sie können unbewusst unsichere Bibliotheken empfehlen oder schlechte Programmierpraktiken aus öffentlich zugänglichem Code übernehmen“, so Freeman. ER empfiehlt daher, Sicherheitsprüfungen fest in den Entwicklungsprozess zu integrieren. Ohne manuelle Prüfungen oder automatisierte Sicherheitsscans verbreiten sich diese Schwachstellen sonst schnell über ganze Projekte. ZU den Prüfungen zählen verpflichtende Code-Reviews sowie automatisierte Scans, um riskante Abhängigkeiten oder unsichere Muster zu erkennen.
Entwickler sollten zudem geschult werden, AI-Ergebnisse kritisch zu hinterfragen, statt sie als automatisch korrekt anzusehen. Ebenso sollten AI-Tools ausschließlich auf sicheren, aktuellen Quellen basieren, um bekannte Fehler nicht zu reproduzieren, so der Abwehr-Chef von Armis.
„Künstliche Intelligenz wird zweifellos zu den prägenden Kräften der künftigen Softwareentwicklung gehören“, kommentierte Freeman abschließend. „Die Ergebnisse des Berichts machen jedoch deutlich: Produktivitätsgewinne erfordern zugleich erhöhte Wachsamkeit. Automatisierung allein ersetzt keine Sicherheitsstrategie – und ohne belastbare Schutzmechanismen können Werkzeuge, die Entwickler:innen die Arbeit erleichtern, ebenso schnell zu einem erheblichen Risiko werden.“
Weitere Artikel zum Schwerpunkt „Lowcode“