KI Risiken

Armis zeigt die Risiken bei KI-gestützter Softwareentwicklung

, Armis

Armis zeigt die Risiken bei KI-gestützter Softwareentwicklung

Produktivitätsschub mit eingebauten Risiken

Von Michael Freeman, Head of Threat Intelligence bei Armis

Der Einsatz von KI-gestützten Tools in der Softwareentwicklung nimmt rasant zu. Sie versprechen schnelleres Programmieren, weniger Routinearbeit und mehr Effizienz. Doch eine aktuelle Analyse von Armis Labs zeigt: Wer sich blind auf KI-generierten Code verlässt, läuft Gefahr, schwerwiegende Sicherheitsprobleme ins eigene Projekt einzubauen – vor allem dann, wenn Vorschläge ungeprüft übernommen werden.

Jeff Hudson, CEO von Venafi

Ein Beispiel liefert der Bericht mit dem Code-Assistenten DeepSeek Coder . In einem Testszenario nutzte ein Entwicklerteam die KI, um Code und externe Bibliotheken automatisch einzubinden – Hauptsache schnell. Das Ergebnis: eine Anwendung voller Sicherheitslücken. DeepSeek empfahl Drittanbieter-Bibliotheken mit bekannten Schwachstellen und erzeugte Quellcode mit typischen Sicherheitsfehlern. Insgesamt fanden die Forscher 18 verschiedene Probleme aus der internationalen CWE-Top-25-Liste der gefährlichsten Software-Schwachstellen.

Darunter waren unter anderem:

  • veraltete PDF- und Logging-Bibliotheken, die die Ausführung beliebigen Codes ermöglichten (CWE-94),
  • unsichere Deserialisierung (CWE-502),
  • fehlerhafte Kryptografie (CWE-321),
  • sowie direkte Schwachstellen im Code wie Cross-Site-Scripting (CWE-79), SQL-Injections (CWE-89), Buffer Overflows (CWE-119) und mangelhafte Authentifizierung bzw. Zugriffskontrolle (CWE-287, CWE-306).

All diese Probleme sind seit Jahren bekannt – trotzdem erkannte oder verhinderte die KI sie nicht. Die zentrale Erkenntnis: KI-Code-Assistenten sind nur so verlässlich wie ihre Trainingsdaten und ihr Design. Sie können unsichere Bibliotheken empfehlen oder schlechte Programmierpraktiken aus frei verfügbarem Code übernehmen. Werden ihre Vorschläge nicht manuell überprüft oder durch automatisierte Sicherheitsscans ergänzt, verbreiten sich Schwachstellen schnell über ganze Projekte – und erhöhen das Risiko erheblich.

Die Security-Forscher raten deshalb, Sicherheitsprüfungen fest in den Entwicklungsprozess einzubauen. Dazu gehören verpflichtende Code-Reviews, vor allem für KI-generierten Code, sowie automatisierte Scans zur Erkennung riskanter Abhängigkeiten oder Muster. Entwickler sollten zudem geschult sein, KI-Vorschläge kritisch zu hinterfragen, statt sie automatisch als korrekt anzunehmen. Ebenso wichtig: KI-Tools sollten ausschließlich auf aktuelle, geprüfte Quellen zurückgreifen, damit bekannte Fehler nicht erneut auftauchen.

Warum das besonders relevant ist

Für Softwareteams in Deutschland – insbesondere in sensiblen Bereichen wie Industrie, Gesundheitswesen oder Finanzwesen – sind diese Erkenntnisse besonders wichtig. Je stärker KI in die Entwicklung einzieht, desto größer wird die Gefahr, dass unsichtbare Schwachstellen in kritische Infrastrukturen gelangen. Der Komfort von KI darf nicht dazu führen, dass grundlegende Sicherheitsstandards vernachlässigt werden.

Klar ist: Künstliche Intelligenz wird die Softwareentwicklung nachhaltig verändern. Doch die Studie macht deutlich: Mehr Produktivität erfordert auch mehr Wachsamkeit. Automatisierung ersetzt keine Sicherheitsstrategie – und ohne robuste Schutzmaßnahmen kann ein hilfreiches Tool schnell selbst zum Risiko werden.