Künstliche Intelligenz hilft den „Citizen Developers“ beim Erstellen von Low-Anwendungs-Code. Doch wo liegen die Gefahren für die Application Security beim unbedachten Einsatz als Coding-Hilfe? Wo die Chancen für den AppSec-Bereich?
Programmieren wird dank lnc immer einfacher, zusätzlich hilft die AI mittlerweile ungemein. Einfache Anwender:innen, auch Citizen Developers genannt, also Entwickler:innen ohne technischen Background können mittels einfacher Prompts in natürlicher Sprache – etwa: „Erstelle mir eine Taschenrechner-Anwendung in Java, die ein Umrechnen von Werten in verschiedene Währungen ermöglicht“ Quellcode erstellen.
Vibe-Hype versus Sicherheit
Was dieses sogenannte Vibe-Coding allerdings nicht adressiert, ist der Umstand, dass die AI zwar angewiesen werden kann, sicheren Code zu schreiben. Aber wer soll das überprüfen? Die Citizen Developers können es nicht, und da auch keine regulierende No-Code- oder Low-Code-Plattform ihrer Coding-Kreativität sicherheitstechnische Grenzen setzt, erstellen Laien mehr und mehr Code, der teilweise ohne Sicherheits-Check in Produktivumgebungen übernommen wird. Der AI vertrauen, dass sie diesen Code sicher erstellt, ist keine Option, denn das ist weder sinnvoll noch tragbar, auch wenn es möglicherweise der Wunschtraum für die Zukunft sein mag.
Mit jeder der vielen Milliarden Zeilen Code, die GenAI heute im Auftrag der User generiert, vergrößert sich also die Angriffsfläche – und die Notwendigkeit, eine sinnvolle Application-Security-Strategie zu besitzen. Dazu gehört unter anderem, Cyber- und Anwendungssicherheit per Shift Left zu implementieren, also bereits zum Zeitpunkt der Code-Erstellung und nicht erst im Nachhinein beim Prüfen der fertigen Anwendung. Denn ab einer bestimmten Größe der Code-Basis, die in der Regel durch APIs mit weiteren Microservices erweitert wird, genügt ein reiner Perimeterschutz nicht mehr. Daher ist es wichtig, das Fundament zu schützen und die Anwendung intrinsisch sicher zu gestalten – von Grund auf. Dafür bedarf es einiger Tools, unter anderem:
- SAST (Static Application Security Testing)-Tools scannen den Quellcode auf Schwachstellen, ohne ihn auszuführen.
- SCA (Software Composition Analysis)-Tools analysieren Open-Source-Komponenten in Anwendungen und Dependencies.
- Tools für die Secrets Detection suchen und finden sogenannte Secrets wie API-Keys, Tokens oder Passwörter, die möglicherweise im Anwendungs-Code enthalten sind.
- CI/CD-Security-Tools überprüfen Pipelines auf potenzielle Risiken und schützen Build- sowie Deployment-Prozesse.
AI, dein Freund und Helfer
All diese Werkzeuge sind in Application Security Posture Management (ASPM)-Plattformen enthalten. Eine noch bessere Alternative dazu wäre eine AI-native Application Security Platform, die AI-generierten Quellcode nicht nur überprüft, absichert und überwacht, sondern künstliche Intelligenz auch proaktiv zum Schutz und zur Generierung sicheren Quellcodes einsetzt. Denn richtig eingesetzt ist AI durchaus ein wertvoller Verbündeter, um die Cybersicherheit zu gewährleisten.
Für die sichere AI-basierte Code-Generierung ist die GenAI-Funktionalität in diesem Fall fest in die Application Security Platform beziehungsweise über sie in die Entwicklungsumgebung der User integriert und unterliegt den dort festgelegten Sicherheitsregularien. Das AI-Modell lernt zudem von Verbesserungen, die menschliche Entwickler:innen implementieren. Auf diese Weise gelingt es, die Code-Generierung zu jeder Zeit nach aktuellsten Cybersecurity-Standards durchzuführen. Gleichzeitig prüft die AI jede Änderung am Code durch die User und gibt Feedback dazu, ob die Änderungen noch den Sicherheitsstandards entsprechen.
Manch eine Application Security Platform stellt AI zudem in Form von autonom agierenden AI-Agenten bereit. Diese testen Anwendungen und führen bei Schwachstellen bereits eine Triage durch, bei denen sie die Kritikalität prüfen und Entwickler:innen Empfehlungen dazu geben, welche potenziellen Bugs und Exploits sie zuerst fixen sollten.
„AI ist weder nur Freund und Helfer noch der Feind in unserem Code – sie hat das Potenzial, uns zu unterstützen, kann aber auch Probleme verursachen“, erklärt Jochen Koehler, Vice President of Sales EMEA bei Cycode, einem Anbieter einer künstlich intelligenten Application Security Platform. „Es ist daher wichtig, sie mit Bedacht einzusetzen und ihr einen klaren, regulatorischen Rahmen zu verpassen, um negative Auswirkungen zu vermeiden und den positiven Nutzen zu maximieren.“
Weitere Artikel zum Schwerpunkt „Lowcode“