Softwareentwicklung
Databricks deckt Risiken beim Vibe Coding auf
Bei Experimenten mit Claude und ChatGPT haben Security-Forscher von Databricks gezeigt, dass das sogenannte Vibe Coding durchaus riskant sein kann. Sie fanden dabei mehrere kritische Schwachstellen – und zeigen, wie sie diese beheben konnten. Das Fazit: Ohne menschliche Kontrolle kann Vibe Coding schnell zu gefährlichen Sicherheitslücken führen.
Ein Beispiel: In einem Test sollte ein LLM ein Snake-Spiel entwickeln, das aus der Vogelperspektive mit der Maus gesteuert wird. Ganz im Sinne der Vibe-Coding-Methode übernahm das Modell dabei weitgehend die Kontrolle über die Architektur und generierte Schritt für Schritt die einzelnen Komponenten. Dabei nutzte die Netzwerkschicht das Python-Modul pickle zum Austausch von Daten. Das Problem: pickle ist seit Langem dafür bekannt, Angreifern Tür und Tor zu öffnen – es erlaubt im schlimmsten Fall die Ausführung beliebigen Codes. Ein manipuliertes Spiel könnte also auf anderen Instanzen Schadcode einschleusen. Die Lösung der Forscher: Umstieg auf JSON zur Datenübertragung und zusätzliche Limits, um DoS-Angriffe zu verhindern.
In einem weiteren Experiment sollte ChatGPT einen Parser für das GGUF-Binärformat erstellen – ein Format, das es Entwicklern nicht leicht macht. Zwar konnte ChatGPT funktionsfähigen Code liefern, doch der typische „lockere“ Vibe-Coding-Ansatz führte dazu, dass gefährliche Annahmen im Code unbemerkt blieben.
Der Hintergrund: Immer mehr Entwickler setzen inzwischen auf KI-gestützte Entwicklungsumgebungen wie Cursor, Cline oder Claude-Code. Diese Tools gehen deutlich weiter als klassische Autocomplete-Helfer. Sie binden Linter, Testrunner, Doku-Parser und sogar Laufzeitanalysen ein – und werden von LLM-Agenten gesteuert, die Ihre gesamte Codebasis durchleuchten und Vorschläge in Echtzeit liefern. Eigentlich sollen sie dadurch Sicherheit und Qualität verbessern. In der Praxis zeigen Tests jedoch: Gerade bei komplexer Logik, I/O-Routinen oder API-Anbindungen entstehen immer noch Schwachstellen.
Das Gesamtbild ist eindeutig: Vibe Coding kann auch bei scheinbar funktionierendem Code gravierende Probleme wie Remote-Code-Ausführung oder Speicherfehler verursachen. Hilfreich sind gezielte Prompting-Techniken wie Selbstreflexion, sprachspezifische Hinweise und Sicherheitsprompts – sie senken das Risiko unsicherer Implementierungen deutlich, ohne die Qualität spürbar zu beeinträchtigen. Tests mit Benchmarks wie Secure Coding und dem OpenAI-Datensatz „HumanEval“ belegen diesen Effekt.
