Fast jede zweite Zeile fehlerhaft: KI-Code voller Sicherheitslücken
Die Verbreitung von KI in der Softwareentwicklung verursacht Probleme: Eine Untersuchung von Veracode(öffnet im neuen Fenster) an rund 100 großen Sprachmodellen zeigt, dass fast die Hälfte aller KI-produzierten Codes ausnutzbare Sicherheitslücken enthalte.
Der 2025 GenAI Code Security Report analysierte 80 Programmieraufgaben in verschiedenen Programmiersprachen. 45 Prozent des KI-generierten Codes wiesen Schwachstellen auf, welche die Systemsicherheit gefährden könnten. Diese Fehler entsprechen den OWASP Top 10(öffnet im neuen Fenster) , welche die gefährlichsten Fehler in Webanwendungen darstellen.
Die Forschung zeigt, dass KI-Modelle bei der Wahl zwischen sicheren und unsicheren Programmieransätzen etwa zur Hälfte der Fälle fehlerhafte Muster wählen. Trotz erheblicher Verbesserungen bei der Generierung funktionsfähigen Codes zeigen diese Systeme keinen Fortschritt bei der Erstellung sicherer Software.
Sicherheitsrisiken variieren zwischen Programmiersprachen
Java erwies sich als problematischste Sprache der Studie: KI-Modelle produzierten in rund 70 Prozent der Testfälle anfälligen Code. Python, Javascript und C# zeigten Fehlerquoten zwischen 38 und 45 Prozent. Bestimmte Schwachstellentypen stellten sich als besonders herausfordernd für KI-Systeme heraus.
Cross-Site-Scripting und Log-Injection(öffnet im neuen Fenster) -Schwachstellen traten in 86 beziehungsweise 88 Prozent der relevanten Testfälle auf. Diese hohen Versagensraten deuten darauf hin, dass sich KI-Modelle mit grundlegenden Sicherheitskonzepten schwer tun, die menschliche Entwickler normalerweise verstehen.
Die Forscher stellten fest, dass Modellgröße nicht mit verbesserter Sicherheit korreliere. Größere KI-Modelle zeigten kein besseres Sicherheitsbewusstsein im Vergleich zu kleineren Gegenstücken. Dies deutet darauf hin, dass das Problem aus Trainingsmethoden resultiert, nicht aus Beschränkungen der Rechenkapazität.
Die Verbreitung von KI-Programmiertools schafft zusätzliche Bedenken. Diese Systeme senken Barrieren für potenzielle Angreifer, die ähnliche KI-Tools nutzen könnten, um Schwachstellen zu identifizieren und Exploit-Code zu entwickeln.
Der Trend zum Vibe Coding – KI-Systemen zu erlauben, Code ohne spezifische Sicherheitsrichtlinien zu generieren – verstärkt der Studie nach die Risiken. Entwickler verlassen sich zunehmend ohne Überprüfung auf KI-Vorschläge.
Die Studienautoren betonen, dass menschliche Überwachung in KI-unterstützter Entwicklung unverzichtbar bleibe. Während die Tools Programmierprozesse beschleunigen könnten, erfordere Sicherheitstesting menschliche Expertise und Urteilsvermögen, das aktuelle KI-Systeme nicht zuverlässig bereitstellten.