Umfassende Analyse von mehr als 100 großen Sprachmodellen deckt Sicherheitslücken auf: Java ist die Programmiersprache mit dem höchsten Risiko, während KI 86 der Cross-Site-Scripting-Bedrohungen übersieht
Veracode, ein weltweit führender Anbieter von Anwendungsrisikomanagement, hat heute seinen 2025 GenAI Code Security Report veröffentlicht, der kritische Sicherheitslücken in KI-generiertem Code aufdeckt. Die Studie analysierte 80 kuratierte Codierungsaufgaben in mehr als 100 großen Sprachmodellen (LLMs) und ergab, dass KI zwar funktionsfähigen Code produziert, jedoch in 45 Prozent der Fälle Sicherheitslücken verursacht.
Diese Pressemitteilung enthält multimediale Inhalte. Die vollständige Mitteilung hier ansehen: https://www.businesswire.com/news/home/20250730534068/de/
Security and Syntax Pass Rates vs LLM Release from the Veracode 2025 GenAI Code Security Report
Die Untersuchung zeigt ein beunruhigendes Muster: Wenn GenAI-Modelle zwischen einer sicheren und einer unsicheren Methode zum Schreiben von Code wählen konnten, entschieden sie sich in 45 Prozent der Fälle für die unsichere Option. Noch besorgniserregender ist vielleicht, dass die Untersuchung von Veracode auch einen kritischen Trend aufgedeckt hat: Trotz der Fortschritte bei der Fähigkeit von LLMs, syntaktisch korrekten Code zu generieren, hat die Sicherheitsleistung nicht Schritt gehalten und ist im Laufe der Zeit unverändert geblieben.
"Der Aufstieg des Vibe-Coding, bei dem Entwickler sich auf KI verlassen, um Code zu generieren, in der Regel ohne explizit Sicherheitsanforderungen zu definieren, stellt eine grundlegende Veränderung in der Art und Weise dar, wie Software entwickelt wird", sagte Jens Wessling, Chief Technology Officer bei Veracode. "Das Hauptproblem bei diesem Trend ist, dass sie keine Sicherheitsbeschränkungen festlegen müssen, um den gewünschten Code zu erhalten, wodurch sichere Codierungsentscheidungen effektiv den LLMs überlassen bleiben. Unsere Untersuchungen zeigen, dass GenAI-Modelle in fast der Hälfte der Fälle falsche Entscheidungen treffen, und es gibt keine Verbesserungen."
KI ermöglicht es Angreifern, Sicherheitslücken schneller und effektiver zu identifizieren und auszunutzen. KI-gestützte Tools können Systeme in großem Umfang scannen, Schwachstellen identifizieren und sogar Exploit-Code mit minimalem menschlichem Aufwand generieren. Dies senkt die Eintrittsbarriere für weniger erfahrene Angreifer und erhöht die Geschwindigkeit und Raffinesse von Angriffen, was eine erhebliche Bedrohung für herkömmliche Sicherheitsmaßnahmen darstellt. Nicht nur die Anzahl der Schwachstellen nimmt zu, auch ihre Ausnutzung wird immer einfacher.
LLMs führen zu gefährlichen allgemeinen Sicherheitslücken
Um die Sicherheitseigenschaften von LLM-generiertem Code zu bewerten, hat Veracode eine Reihe von 80 Code-Vervollständigungsaufgaben mit bekanntem Potenzial für Sicherheitslücken gemäß dem MITRE Common Weakness Enumeration (CWE)-System entwickelt, einer Standardklassifizierung von Software-Schwachstellen, die zu Sicherheitslücken führen können. Die Aufgaben veranlassten mehr als 100 LLMs, einen Code-Block auf sichere oder unsichere Weise automatisch zu vervollständigen, was das Forschungsteam anschließend mit Veracode Static Analysis analysierte. In 45 Prozent aller Testfälle führten LLMs Schwachstellen ein, die in den OWASP (Open Web Application Security Project) Top 10 klassifiziert sind den kritischsten Sicherheitsrisiken für Webanwendungen.
Veracode stellte fest, dass Java mit einer Sicherheitsausfallrate von über 70 Prozent die riskanteste Sprache für die KI-Codegenerierung ist. Andere wichtige Sprachen wie Python, C# und JavaScript stellten mit Ausfallraten zwischen 38 und 45 Prozent ebenfalls ein erhebliches Risiko dar. Die Untersuchung ergab außerdem, dass LLMs in 86 Prozent der Fälle keine Sicherheit gegen Cross-Site-Scripting (CWE-80) und in 88 Prozent der Fälle keine Sicherheit gegen Log-Injection (CWE-117) gewährleisten konnten.
"Trotz der Fortschritte in der KI-gestützten Entwicklung ist klar, dass die Sicherheit nicht Schritt gehalten hat", so Wessling. "Unsere Untersuchung zeigt, dass die Modelle zwar immer besser codieren, sich aber in punctos Sicherheit nicht verbessern. Wir haben außerdem festgestellt, dass größere Modelle nicht wesentlich besser abschneiden als kleinere Modelle, was darauf hindeutet, dass es sich hierbei eher um ein systemisches Problem als um ein Skalierungsproblem von LLMs handelt."
Management von Anwendungsrisiken im Zeitalter der KI
GenAI-Entwicklungsmethoden wie Vibe Coding beschleunigen zwar die Produktivität, erhöhen aber auch die Risiken. Veracode betont, dass Unternehmen ein umfassendes Risikomanagementprogramm benötigen, das Schwachstellen verhindert, bevor sie in die Produktion gelangen, indem Codequalitätsprüfungen und automatisierte Korrekturen direkt in den Entwicklungsworkflow integriert werden.
Da Unternehmen zunehmend auf KI-gestützte Entwicklung setzen, empfiehlt Veracode die folgenden proaktiven Maßnahmen zur Gewährleistung der Sicherheit:
- Integrieren Sie KI-gestützte Tools wie Veracode Fix in die Arbeitsabläufe Ihrer Entwickler, um Sicherheitsrisiken in Echtzeit zu beheben.
- Nutzen Sie statische Analysen, um Fehler frühzeitig und automatisch zu erkennen und zu verhindern, dass anfälliger Code die Entwicklungspipelines durchläuft.
- Integrieren Sie Sicherheit in agentenbasierte Arbeitsabläufe, um die Einhaltung von Richtlinien zu automatisieren und sicherzustellen, dass KI-Agenten sichere Codierungsstandards durchsetzen.
- Verwenden Sie Software Composition Analysis(SCA), um sicherzustellen, dass KI-generierter Code keine Schwachstellen aus Abhängigkeiten von Drittanbietern und Open-Source-Komponenten einführt.
- Führen Sie maßgeschneiderte KI-gesteuerte Korrekturhinweise ein, um Entwicklern präzise Anweisungen zur Fehlerbehebung an die Hand zu geben und sie in der effektiven Nutzung der Empfehlungen zu schulen.
- Setzen Sie eine Package Firewall ein, um bösartige Pakete, Schwachstellen und Richtlinienverstöße automatisch zu erkennen und zu blockieren.
"KI-Codierungsassistenten und agentenbasierte Workflows sind die Zukunft der Softwareentwicklung und werden sich weiterhin rasant weiterentwickeln", so Wessling abschließend. "Jedes Unternehmen steht vor der Herausforderung, sicherzustellen, dass die Sicherheit mit diesen neuen Funktionen Schritt hält. Sicherheit darf kein nachträglicher Gedanke sein, wenn wir die Anhäufung massiver Sicherheitsrisiken verhindern wollen."
Der vollständige GenAI Code Security Report 2025 steht zum Download auf der Website von Veracode bereit.
Über Veracode
Veracode ist ein weltweit führender Anbieter von Anwendungsrisikomanagement für das KI-Zeitalter. Die Veracode-Plattform basiert auf Billionen von Code-Scans und einer proprietären KI-gestützten Engine zur Fehlerbehebung und wird von Unternehmen weltweit für die Entwicklung und Wartung sicherer Software von der Code-Erstellung bis zur Cloud-Bereitstellung eingesetzt. Tausende der weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jeden Tag rund um die Uhr, um genaue und umsetzbare Einblicke in ausnutzbare Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre Sicherheitslücken in großem Umfang zu reduzieren. Veracode ist ein mehrfach ausgezeichnetes Unternehmen, das Funktionen zur Sicherung des gesamten Softwareentwicklungslebenszyklus anbietet, darunter Veracode Fix, statischer Analyse, dynamischer Analyse, Software-Zusammensetzungsanalyse, Containersicherheit, Anwendungssicherheitsmanagement, Erkennung bösartiger Pakete und Penetrationstests.
Weitere Informationen finden Sie unter www.veracode.com, im Veracode-Blog und auf LinkedIn und X.
Copyright 2025 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier genannten Marken sind Eigentum ihrer jeweiligen Inhaber.
Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.
Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20250730534068/de/
Contacts:
Presse und Medien:
Katy Gwilliam
Head of Global Communications, Veracode
kgwilliam@veracode.com
