promptgarden 🌱
🌍 EN
Guide●●○3 Min · +40 XP

Sicherheit bei Vibe Coding

KI-generierter Code hat typische Schwachstellen. Eine kurze Checkliste hilft, sie früh zu erwischen.

Was ist das Risiko?

"Vibe Coding" – Code weitgehend von einer KI schreiben lassen, ohne jede Zeile selbst zu prüfen – ist schnell, bringt aber typische Sicherheitslücken mit sich, die man kennen sollte.

Fehlende Input-Validierung

KI-generierter Code prüft Nutzereingaben nicht automatisch ausreichend. Ohne explizite Anweisung fehlt oft die Validierung von Formularfeldern, API-Parametern oder Datei-Uploads – ein klassisches Einfallstor.

Secrets im Code

KI-Modelle schreiben manchmal Platzhalter-Keys oder Beispiel-Credentials direkt in den Code, statt sie in Umgebungsvariablen auszulagern. Wird das nicht geprüft, landen API-Keys oder Passwörter im Repository.

Halluzinierte Dependencies (Slopsquatting)

KI-Modelle empfehlen manchmal Paketnamen, die es gar nicht gibt (Halluzination). Angreifer registrieren genau solche erfundenen Paketnamen mit Schadcode – dieses Risiko heißt "Slopsquatting". Installierst du ungeprüft, was die KI vorschlägt, kannst du dir so Schadsoftware einfangen.

Checkliste

  • Review-Pflicht: Jede KI-generierte Änderung von einem Menschen gegenlesen lassen, bevor sie in Produktion geht
  • Dependency-Check: Vorgeschlagene Paketnamen vor der Installation verifizieren (existiert das Paket wirklich, wie seriös ist es?)
  • Secrets-Scanner: Automatisiert nach versehentlich eingecheckten Keys und Passwörtern suchen
  • Least-Privilege: Der Code (und der Agent, der ihn schreibt) bekommt nur die Rechte, die er wirklich braucht

BEISPIEL

Konzeptionelles Beispiel: Vor jedem Merge läuft automatisch ein Secrets-Scanner und ein Dependency-Check, der neue Paketnamen gegen die echte Registry prüft.

KURZ-QUIZ

Was ist 'Slopsquatting'?

QUELLEN

VERWANDTE THEMEN

Vibe Coding: Wann es funktioniert, wann es dich beißt ●○○Guardrails für autonome Agenten ●●●