Warum funktionsfähige Vibe-geschriebene Apps kritische Sicherheitslücken verbergen können

Warum funktionsfähige Vibe-geschriebene Apps kritische Sicherheitslücken verbergen können
Nikki Schröder 5 September 2025 0 Kommentare

Stell dir vor, du gibst einer KI eine einfache Anweisung: „Erstelle mir ein Admin-Dashboard, das Daten aus einer Datenbank holt und nur für eingeloggte Nutzer sichtbar ist.“ Die KI generiert den Code in Sekunden. Das Dashboard funktioniert perfekt. Du bist zufrieden. Doch was du nicht siehst: Jeder, der die Entwicklerwerkzeuge im Browser öffnet, kann sich als Administrator ausgeben - ohne Passwort. Kein Login. Keine Prüfung. Nur ein einfacher Klick auf „authenticated: true“ in LocalStorage. Das ist Vibe-Coding. Und es ist gefährlich.

Was ist Vibe-Coding wirklich?

Vibe-Coding ist kein offizieller Begriff aus der Informatik. Es ist eine Umgangssprache für eine neue Art zu programmieren: Du sagst der KI, was du willst, und sie baut es für dich. Kein tiefes Verständnis von Authentifizierung, keine Prüfung von API-Schlüsseln, keine Gedanken an SQL-Injection. Die KI „vibed“ den Code - sie fühlt ihn einfach. Plattformen wie GitHub Copilot, Pythagora oder Lovable.app machen das möglich. Entwickler bauen in Stunden, was früher Wochen dauerte. Innenanwendungen, Dashboards, Testumgebungen - alles schnell, billig, scheinbar fehlerfrei.

Doch hier liegt das Problem: Die KI versteht Sicherheit nicht. Sie lernt aus öffentlichen Code-Repositories - und die sind voller Fehler. Eine Studie von Wiz Research aus November 2024 zeigt: 20 % der Vibe-geschriebenen Anwendungen enthalten kritische Sicherheitslücken. Und das, obwohl sie perfekt funktionieren. Das ist der größte Trugschluss: Funktioniert es? Ja. Ist es sicher? Nein.

Die vier tödlichen Fehler, die KI ständig macht

KI-Code sieht auf den ersten Blick sauber aus. Aber wenn du genauer hinschaust, findest du dieselben Fehler - immer wieder.

  • Clientseitige Authentifizierung (27 % der Anwendungen): Die KI legt einen Zustand wie authenticated: true in LocalStorage ab. Kein Server prüft das. Ein Angreifer ändert den Wert - und ist Administrator. In 68 % dieser Fälle ist das der einzige Schutz.
  • Hardcoded Geheimnisse (33 %): Datenbank-Passwörter, API-Schlüssel, Zugangsdaten - alles direkt im Code. Ein Fall aus Juli 2024: Ein Angreifer stahl $30.000 an OpenAI-API-Tokens, weil Pythagora sie im generierten Code hinterlassen hatte.
  • Inkonsistente Datenzugriffsregeln (22 %): Die KI generiert Endpunkte wie /api/files/user123, aber sie prüft nicht, ob der Nutzer wirklich der Besitzer ist. Intigriti fand 41 % dieser Anwendungen, wo jeder beliebige Datei herunterladen konnte - einfach durch Zahlen ändern.
  • Öffentliche interne Systeme (18 %): Entwickler deployen Testumgebungen auf lovable.app - ohne Authentifizierung. Wiz Research fand 1.247 solcher Systeme: interne Chatbots, Dokumentationen, Mitarbeiterdatenbanken - alles öffentlich zugänglich.

Warum SAST-Tools nichts sehen

Du verwendest vielleicht Static Application Security Testing (SAST) - Tools, die den Code auf Schwachstellen prüfen. Aber die funktionieren bei Vibe-Coding nicht. Warum? Weil der Code funktioniert. Die KI hat keine Syntaxfehler. Keine offensichtlichen Angriffsvektoren. Die Lücke ist nicht im Code - sie ist in der Logik.

Ein Beispiel: Ein KI-generierter Code für ein Spiel „Snake Battle“ enthielt eine Buffer-Overflow-Schwachstelle, weil die KI malloc() und memcpy() ohne Prüfung verwendete. Ein klassischer SAST-Scanner sah nichts. Der Code war sauber. Er war nur tödlich, wenn jemand eine manipulierte GGUF-Datei hochlud.

Die häufigsten Schwachstellen nach MITRE CWE Top 25 (Kaspersky, Februar 2025):

  • CWE-306: Fehlende Authentifizierung - 42 %
  • CWE-94: Code-Injektion - 37 %
  • CWE-434: Unbeschränkter Datei-Upload - 31 %
  • CWE-78: OS-Befehlsinjektion - 29 %
  • CWE-190: Integer-Überlauf - 24 %
Diese Fehler sind nicht sichtbar, wenn du die App nur „testest“. Sie manifestieren sich nur, wenn jemand gezielt angreift - und das tun QA-Teams normalerweise nicht.

Digitale Baumstruktur aus unsicherem Code brennt, Hacker sammelt Daten, CWE-Symbole schweben, düstere Cyber-Atmosphäre.

Wie es schon passiert ist

Es ist kein Theorie-Szenario. Es ist passiert.

Im Januar 2025 wurde die Plattform Nx kompromittiert, weil ein KI-generierter Code einen Publishing-Token exponierte. Im Juli 2024 nutzte ein Angreifer eine Schwachstelle in Google’s Gemini CLI aus - ausgelöst durch einen Befehl in einer readme.md-Datei. Amazon Q Developer enthielt im März 2025 sogar Code, der die Festplatte eines Entwicklers löschen sollte. Ein Programmierfehler verhinderte die Ausführung - aber der Code war da. Und er war von einer KI generiert.

Wiz Research zählte allein im vierten Quartal 2024 147 erfolgreiche Angriffe auf Vibe-geschriebene Anwendungen. Der durchschnittliche Schaden pro Vorfall: $287.000. Meist durch Datenexfiltration aus ungesicherten Datenbanken.

Warum Entwickler nichts merken

Ein Survey von Intigriti unter 1.200 Vibe-Codern ergab: 63 % haben keine formale Sicherheitsschulung. 78 % vertrauen dem generierten Code ohne Prüfung. Warum? Weil es so schnell geht. Weil es funktioniert. Weil sie keine Ahnung haben, was sie nicht wissen.

GitHub analysierte 2025: Nur 37 % der Vibe-Coding-Vorlagen enthalten Sicherheitshinweise. Bei traditionellen Frameworks sind es 89 %. Die meisten Entwickler lernen Sicherheit nicht, weil sie nie gelehrt wurde - sie lernen es durch Ausprobieren. Und dabei machen sie Fehler, die schon vor zehn Jahren bekannt waren.

SANS Institute sagt: Um Vibe-Coding sicher zu nutzen, braucht ein Entwickler 120-150 zusätzliche Stunden Sicherheitstraining. Die meisten haben nicht mal 10.

Linker Teil: Team feiert Deployment; rechter Teil: App saugt sensible Daten in einen schwarzen Loch, Sicherheitstool beobachtet.

Was sich ändert - langsam

Die Industrie wacht auf. GitHub startete im Januar 2025 „Secret Scanning“ für KI-Code - erkennt API-Schlüssel in Pull Requests. Wiz Research lancierte im Februar 2025 „VibeGuard“, ein Tool, das clientseitige Authentifizierungsfehler findet. OWASP hat „KI-generierter Code“ als neue Kategorie in den Top 10 2025 aufgenommen - mit konkreten Abwehrmaßnahmen.

NIST veröffentlichte im September 2024 die Spezifikation 1800-38 - die erste offizielle Richtlinie für die Sicherheit von KI-generiertem Code. Unternehmen müssen sich darauf vorbereiten.

Aber es gibt ein tieferes Problem: Die KI-Modelle lernen aus Code, der selbst unsicher ist. Schätzungen zufolge enthält 31 % aller öffentlichen GitHub-Repositories bekannte Schwachstellen. Solange die KI aus diesen Daten lernt, wird sie immer wieder dieselben Fehler wiederholen. Bis sich das ändert - wahrscheinlich erst 2028 - bleibt das Risiko hoch.

Was du tun kannst - heute

Wenn du Vibe-Coding verwendest, dann:

  1. Prüfe jeden generierten Code - nicht nur, ob er funktioniert, sondern ob er sicher ist. Suche nach localStorage.setItem('authenticated', 'true'), API-Schlüsseln, ungeschützten Endpunkten.
  2. Verwende spezialisierte Tools: GitHub Secret Scanning, Wiz VibeGuard, oder Snyk für KI-Code.
  3. Deploye niemals interne Tools öffentlich. Selbst wenn sie „nur zum Testen“ sind.
  4. Verlasse dich nicht auf die KI. Sie ist ein Assistent - kein Sicherheitsberater.
  5. Schul deine Teammitglieder. Selbst 30 Minuten pro Woche über Authentifizierung und Input-Validation machen einen Unterschied.

Die Zukunft: Sicherheit ist kein Bonus - sie ist Pflicht

Gartner prognostiziert: Bis 2027 wird die Verwendung von KI-gestützten Sicherheitsprüfungen für Vibe-Coding Pflicht sein. 75 % der Unternehmen werden sie einführen. Das ist gut. Aber es ist zu spät für viele.

Vibe-Coding wird nicht verschwinden. Es ist zu nützlich. Zu schnell. Zu günstig. Die Frage ist nicht, ob wir es aufgeben - sondern ob wir es sicher nutzen lernen. Die KI kann Code schreiben. Aber sie kann nicht denken. Und Sicherheit? Das ist Denken.

Wenn du denkst, „es funktioniert ja“ - dann bist du schon zu spät.

Schlagwörter:

Kategorien

Archive