Eine neue Studie zur Sicherheit von KI-generiertem Code deckt ein ernstes Problem auf: Fast 50 % des Codes, der von großen Sprachmodellen (LLMs) erstellt wird, enthalten bekannte Schwachstellen. Forschende von Veracode warnen, dass der Code zwar oft funktional ist – aber selten sicher.
Das Forschungsteam testete 100 gängige LLMs anhand von 80 Programmieraufgaben in vier Sprachen: Java, JavaScript, C# und Python. Ziel war es, Schwachstellen wie SQL-Injektionen, Cross-Site-Scripting (XSS), Log-Injektionen und unsichere kryptografische Algorithmen zu identifizieren.
Das Ergebnis: Nur 55 % des generierten Codes war sicher. Das bedeutet, dass 45 % der Lösungen Sicherheitslücken enthielten – viele davon schwerwiegend.
Größere Modelle bedeuteten nicht sichereren Code
Überraschenderweise schnitten größere und komplexere Modelle nicht besser ab als kleinere. Modelle mit über 100 Milliarden Parametern erreichten eine Sicherheitsquote von 50,87 %, während kleinere Modelle unter 20 Milliarden auf 50,65 % kamen.
Laut Veracode sind moderne Modelle zwar besser darin, funktionalen und syntaktisch korrekten Code zu schreiben, doch bei der Sicherheit gibt es kaum Fortschritte.
– Die Sicherheitsleistung hat sich in den letzten zwei Jahren kaum verbessert, so das Fazit der Studie.
Java am unsichersten – Python am sichersten
Java schnitt am schlechtesten ab, mit einer Sicherheitsquote von nur 28,5 %. Die Forschenden vermuten, dass viele veraltete und unsichere Java-Beispiele in den Trainingsdaten der Modelle enthalten waren. Python lag mit 61,69 % an der Spitze, gefolgt von JavaScript (57 %) und C# (55 %).
Besonders schwach waren die Modelle in zwei Kategorien:
- Cross-Site-Scripting (XSS)
- Log-Injektionen
Hier lagen die Erfolgsquoten lediglich bei 12–13 %.
Besser lief es hingegen beim Erkennen veralteter Kryptoverfahren und bei SQL-Injektionen – mit Erfolgsraten von rund 80–85 %.
KI-generierter Code erhöht unbemerkt das Risiko für Sicherheitsvorfälle
Unternehmen, die KI-Tools zur Codegenerierung einsetzen, könnten unbeabsichtigt Schwachstellen in ihre Systeme einbauen. Diese Risiken entstehen nicht nur intern, sondern auch durch Open-Source-Komponenten oder Drittanbieter, die KI nutzen.
Mit zunehmender Verbreitung von generativer KI steigt auch das Risiko von Datenschutzverletzungen, Reputationsverlust und regulatorischen Strafen.
– Wenn du „auf Vibe“ Code generierst, häufst du technischen Schulden in der Geschwindigkeit an, mit der das LLM Code ausspuckt, warnt Steve Krouse, CEO von Val Town.
LLMs sind nützlich für schnelle Prototypen, doch bei produktionsreifem Code ohne gründliche Sicherheitsprüfung kann das gefährlich werden.
Fazit
Die Sicherheitskrise bei KI-generiertem Code spitzt sich zu. Trotz technischer Fortschritte produzieren Sprachmodelle weiterhin fehlerhaften Code in alarmierendem Ausmaß. Da 45 % aller generierten Lösungen bekannte Schwachstellen enthalten, sind Unternehmen und Entwickler gefordert. Wer auf KI setzt, ohne robuste Sicherheitsmechanismen, spielt mit einer tickenden Zeitbombe.
0 Kommentare zu „Sicherheit von KI-generiertem Code scheitert – 45 % enthalten bekannte Schwachstellen“