Notebookcheck Logo

Gefahr im Code: Massive Sicherheitsmängel bei KI-generierter Software

Gefahr im Code: Massive Sicherheitsmängel bei KI-generierter Software (Bildquelle: Veracode)
Gefahr im Code: Massive Sicherheitsmängel bei KI-generierter Software (Bildquelle: Veracode)
Ein neuer Bericht von Veracode zeigt auf, dass KI-generierter Code in fast der Hälfte aller Entwicklungsprozesse erhebliche Sicherheitsrisiken birgt. Eine Analyse von über 100 Large Language Models (LLMs) enthüllte kritische Schwachstellen, wobei Java das höchste Risiko aufweist. Besonders alarmierend ist, dass KI-Modelle 86 Prozent der Cross-Site-Scripting-Bedrohungen übersehen.
Security AI

Laut dem kürzlich veröffentlichten „2025 GenAI Code Security Report“ von Veracode, einem führenden Unternehmen im Bereich des Application Risk Managements, führt die Verwendung von KI-generiertem Code in 45 Prozent der Fälle zur Einführung neuer Sicherheitslücken. Die Studie, die 80 spezifische Codierungsaufgaben über mehr als 100 LLMs hinweg untersuchte, hebt hervor, dass die Sicherheitsleistung der KI-Modelle nicht mit ihrer Fähigkeit zur Generierung syntaktisch korrekten Codes Schritt hält.

Besorgniserregende Muster

Die Veracode-Studie offenbart ein alarmierendes Muster: In 45 Prozent der Fälle entscheiden sich GenAI-Modelle für unsichere Codierungsmethoden. Jens Wessling von Veracode warnt in diesem Zusammenhang vor dem sogenannten „Vibe Coding“, bei dem Entwickler sicherheitsrelevante Entscheidungen der KI überlassen. Die Modelle treffen laut Wessling fast in der Hälfte der Fälle falsche Entscheidungen – ohne erkennbare Lernkurve. Besonders kritisch ist dies, weil KI nicht nur fehlerhaften Code erzeugt, sondern auch von Angreifern genutzt werden kann, um Schwachstellen automatisiert zu identifizieren und Exploits zu generieren.

Java mit höchsten Risiken, Cross-Site Scripting massiv betroffen

Veracode analysierte mithilfe des MITRE-CWE-Systems KI-generierten Code und stützte sich dabei auf Daten aus dem GenAI-Projekt der OWASP Foundation. Demnach führen LLMs in 45 Prozent der Fälle sicherheitsrelevante Schwachstellen ein. Besonders fehleranfällig war Java mit einer Fehlerrate von über 70 Prozent, gefolgt von Python, C# und JavaScript mit jeweils 38 bis 45 Prozent.

Cross-Site Scripting und Log Injection

Die Studie zeigt zudem, dass LLMs in 86 Prozent der Fälle Cross-Site Scripting (CWE-80) und in 88 Prozent der Fälle Log Injection (CWE-117) nicht absichern konnten.

Wessling kommentierte:

„Unsere Forschung zeigt, dass Modelle besser darin werden, präzise zu codieren, aber sich bei der Sicherheit nicht verbessern. Wir fanden auch heraus, dass größere Modelle nicht signifikant besser abschneiden als kleinere Modelle, was darauf hindeutet, dass dies ein systemisches Problem und kein LLM-Skalierungsproblem ist.“

Veracode rät: KI-generierten Code mit smarten Tools absichern

Veracode empfiehlt angesichts dieser Erkenntnisse umfassende Risikomanagementprogramme, die Codequalitätsprüfungen und automatisierte Korrekturen direkt in den Entwicklungsworkflow integrieren. Dazu gehören der Einsatz von KI-gestützten Tools wie Veracode Fix, statische Analyse und Software Composition Analysis (SCA) zur frühzeitigen Erkennung und Behebung von Schwachstellen.

Verwandte Artikel

static version load dynamic
Loading Comments
Diesen Artikel kommentieren / Antworten
Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!
Mail Logo
> Notebook Test, Laptop Test und News > News > Newsarchiv > News 2025-07 > Gefahr im Code: Massive Sicherheitsmängel bei KI-generierter Software
Autor: Ulrich Mathey, 31.07.2025 (Update:  7.08.2025)