Forscher warnen vor einem Programmierstil, der als "vibe coding" bezeichnet wird und Chargen verwundbaren Codes freigibt. Die Teams hinter dem Befund durchsuchten über 43.000 Sicherheitswarnungen im Web und fanden zahlreiche Fälle, in denen generative künstliche Intelligenz geholfen hat, unsicheren Code zu erzeugen. Zu den analysierten Tools gehören Claude, Gemini und GitHub Copilot.
Der Vibe Security Radar wurde vom Systems Software & Security Lab (SSLab) an der Georgia Tech entwickelt. Graduiertenassistent Hanqing Zhao betont, dass zuvor niemand diese weit verbreiteten Schwachstellen systematisch verfolgte. Der Radar durchsucht öffentliche Vulnerability‑Datenbanken, identifiziert den Fehler in jeder Meldung und untersucht die Historie des Codes, um zu ermitteln, wer den Fehler eingeführt hat. Findet das System die Signatur eines AI‑Tools, markiert es den Fall. Bisher sind 74 Fälle bestätigt, davon 14 als kritisch und 25 als hoch. Gefundene Schwachstellen reichen von Command Injection über Umgehung der Authentifizierung bis zu Server‑Side Request Forgery.
- Der Radar kann Metadaten wie Co‑Autor‑Tags, Bot‑E‑Mails und andere bekannte Tool‑Signaturen zurückverfolgen.
- Er kann Fälle nicht identifizieren, wenn diese Marker entfernt wurden.
Das Team arbeitet an verhaltensbasierter Erkennung: KI‑generierter Code zeigt oft Muster bei Variablennamen, Funktionsstruktur und Fehlerbehandlung. Die Forscher verbessern außerdem die Verifikations‑Pipeline und weiten die Quellen aus, die der Radar durchsucht. Zhao warnt, AI‑Code sorgfältig zu prüfen und empfiehlt, AI detailliertere Eingaben zu geben sowie Werkzeuge einzusetzen, die generierten Code auf Schwachstellen prüfen. Die Angriffsfläche wächst: Der Radar fand rund 18 Fälle in der zweiten Hälfte von 2025 und 56 Fälle in den ersten drei Monaten von 2026; allein im März 2026 waren es 35. Viele Tools, darunter Claude Code und Copilot, machen den Großteil der Funde aus, teilweise weil sie deutlichere Signaturen hinterlassen.
Schwierige Wörter
- vibe coding — Programmierweise, die unsicheren Code erzeugt und verbreitet
- generative künstliche Intelligenz — KI, die selbstständig neuen Code oder Text erzeugt
- schwachstelle — Fehler im Code, den Angreifer ausnutzen könnenSchwachstellen
- signatur — erkennbares Merkmal, das ein Tool verrät
- verhaltensbasierte Erkennung — Erkennungsmethode, die Muster im Codeverhalten nutztverhaltensbasierter Erkennung
- verifikations‑pipeline — Schritte zur Prüfung und Bestätigung von Codequalität
- command injection — Angriff, bei dem fremde Befehle eingeschleust werden
Tipp: Fahre über markierte Wörter oder tippe darauf, um kurze Definitionen zu sehen – während du liest oder zuhörst.
Diskussionsfragen
- Welche Maßnahmen würden Sie in Ihrem Team einführen, um von KI erzeugten Code besser zu prüfen und sichere Software zu gewährleisten? Nennen Sie zwei konkrete Schritte.
- Wie beurteilen Sie die Empfehlung, AI detailliertere Eingaben zu geben und zusätzlich Werkzeuge zur Schwachstellenprüfung einzusetzen?
- Welche Vorteile und Grenzen sehen Sie bei verhaltensbasierter Erkennung im Vergleich zur Erkennung durch Metadaten wie Co‑Autor‑Tags oder Bot‑E‑Mails?
Verwandte Artikel
Quantencomputer können über Tausende Kilometer verbunden werden
Neue Forschung an der University of Chicago zeigt, dass Quantencomputer viel weiter verbunden werden könnten. Durch längere Quantenkohärenz und geänderte Kristallherstellung wären theoretisch Verbindungen über Tausende Kilometer möglich; nun folgen Labortests.
App enthüllt Einsamkeit junger Menschen in China
Eine kurze App namens „Are You Dead Yet?“ wurde Anfang 2026 im chinesischen App Store sehr beliebt. Sie verlangte Notfallkontakte und Check-ins und löste damit Diskussionen über alleinlebende junge Menschen und die sogenannte Einsamkeitsökonomie aus.
