Sicherheit bei Vibe Coding
KI-generierter Code hat typische Schwachstellen. Eine kurze Checkliste hilft, sie früh zu erwischen.
Was ist das Risiko?
"Vibe Coding" – Code weitgehend von einer KI schreiben lassen, ohne jede Zeile selbst zu prüfen – ist schnell, bringt aber typische Sicherheitslücken mit sich, die man kennen sollte.
Fehlende Input-Validierung
KI-generierter Code prüft Nutzereingaben nicht automatisch ausreichend. Ohne explizite Anweisung fehlt oft die Validierung von Formularfeldern, API-Parametern oder Datei-Uploads – ein klassisches Einfallstor.
Secrets im Code
KI-Modelle schreiben manchmal Platzhalter-Keys oder Beispiel-Credentials direkt in den Code, statt sie in Umgebungsvariablen auszulagern. Wird das nicht geprüft, landen API-Keys oder Passwörter im Repository.
Halluzinierte Dependencies (Slopsquatting)
KI-Modelle empfehlen manchmal Paketnamen, die es gar nicht gibt (Halluzination). Angreifer registrieren genau solche erfundenen Paketnamen mit Schadcode – dieses Risiko heißt "Slopsquatting". Installierst du ungeprüft, was die KI vorschlägt, kannst du dir so Schadsoftware einfangen.
Checkliste
- Review-Pflicht: Jede KI-generierte Änderung von einem Menschen gegenlesen lassen, bevor sie in Produktion geht
- Dependency-Check: Vorgeschlagene Paketnamen vor der Installation verifizieren (existiert das Paket wirklich, wie seriös ist es?)
- Secrets-Scanner: Automatisiert nach versehentlich eingecheckten Keys und Passwörtern suchen
- Least-Privilege: Der Code (und der Agent, der ihn schreibt) bekommt nur die Rechte, die er wirklich braucht
BEISPIEL
Konzeptionelles Beispiel: Vor jedem Merge läuft automatisch ein Secrets-Scanner und ein Dependency-Check, der neue Paketnamen gegen die echte Registry prüft.
KURZ-QUIZ
Was ist 'Slopsquatting'?
QUELLEN
- Cloud Security Alliance: Slopsquatting Research Note ↗ labs.cloudsecurityalliance.org