Sollte ich GitHub Copilot nutzen?

Mit Vorsicht ja. Nicht für kritische Code.

Kann die KI besser werden?

Ja, die KI-Modelle werden besser über Zeit.

Muss ich jede Zeile überprüfen?

Fokus auf Security-relevante Code. Standard-Boilerplate ist meist safe.

IT-Sicherheit

Ist KI-generierter Code sicher? Sicherheitsrisiken von Vibe Coding

Nico FreitagIT-Sicherheit

KI-Tools wie GitHub Copilot und ChatGPT können Code schreiben. Das ist cool – aber ist der Code auch sicher? Wir schauen uns Security-Risiken an. Die kurze Antwort: KI-Code kann Sicherheitslücken haben. Oft.

Das Sicherheitsproblem mit KI-Code

KI trainiert auf Code, der überall im Internet verfügbar ist. Viel davon ist vulnerable. Wenn die KI dann Code generiert, kann sie dieselben Vulnerabilities mitgenerieren. Beispiel: Die KI sieht Millionen Beispiele von SQL-Code, viele davon vulnerable gegenüber SQL Injection. Die KI hat keine Möglichkeit zu wissen, welcher Code sicher ist und welcher nicht. Sie generiert einfach "wahrscheinlichen" Code – und das kann unsicher sein.

Häufige Probleme bei KI-Code

1. SQL Injection: Die KI generiert SQL durch String-Concatenation statt prepared statements. 2. XSS: Die KI gibt User-Input unescaped zurück. 3. Hardcoded Credentials: Die KI generiert Passwörter oder API Keys direkt im Code. 4. Keine Input Validation: Die KI validiert User-Input nicht. 5. Weak Crypto: Die KI nutzt MD5 oder SHA1 statt moderna Algo. 6. CSRF Token: Die KI implementiert CSRF-Protection nicht.

Studie: Wie häufig ist es wirklich?

Es gibt ein Studie von New York University, die KI-Code auf Vulnerabilities testet. Das Ergebnis: Ca. 40% des generierten Code hatte Sicherheitslücken. 40%! Das ist nicht okay.

Warum macht KI das?

Weil KI nicht versteht, was Sicherheit bedeutet. Die KI sieht: "SQL ist so geschrieben: SELECT * FROM users WHERE id = " + user_id + "". Die KI generiert ähnlich. Die KI hat keinen mentalen Model von "Was ist SQL Injection und warum ist es schlecht". Sie kennt nur Patterns.

Wie du KI-Code sicher machst

1. Never production ohne Review: ALLES, was die KI generiert, muss reviewed werden – speziell auf Security. 2. Nutze Linter und SAST: Tools wie Semgrep oder Bandit finden viele Probleme automatisch. 3. Schreib Security-Prompts: Sag der KI explizit "Nutze prepared statements" oder "Validiere Input". 4. Testing: Unit Tests, Security Tests. 5. Code Review: Ein mensch-Review ist essential.

Best Practices

Für Code, den KI schreibt, solltest du: - Zu 100% reviews es (nicht 90%) - Security-fokussiertes Testing - Automatische Security-Checks (SAST) - Documentation warum dieser Code sicher ist

Conclusion

KI-Code ist nicht sicher by default. KI kann hilfreich sein um Boilerplate schneller zu schreiben, aber Security-kritischer Code sollte von Menschen geschrieben und reviewed werden.

Our Service

IT Security

About the Author

Nico Freitag

Founder & Geschäftsführer

Nico Freitag is the founder and CEO of AXIS/PORT. With expertise in AI consulting, software development, and IT security, he helps businesses with their digital transformation.

FAQ

All Articles