Veracode, ein weltweit führender Anbieter von Anwendungsrisikomanagement, hat heute seinen 2025 GenAI Code Security Report veröffentlicht, der kritische Sicherheitslücken in KI-generiertem Code aufdeckt.

(CWE)-System entwickelt, einer Standardklassifizierung von Software-Schwachstellen, die zu Sicherheitslücken führen können. Die Aufgaben veranlassten mehr als 100 LLMs, einen Code-Block auf sichere oder unsichere Weise automatisch zu vervollständigen, was das Forschungsteam anschließend mit Veracode Static Analysis analysierte. In 45 Prozent aller Testfälle führten LLMs Schwachstellen ein, die in den OWASP (Open Web Application Security Project) Top 10 klassifiziert sind – den kritischsten Sicherheitsrisiken für Webanwendungen.

Veracode stellte fest, dass Java mit einer Sicherheitsausfallrate von über 70 Prozent die riskanteste Sprache für die KI-Codegenerierung ist. Andere wichtige Sprachen wie Python, C# und JavaScript stellten mit Ausfallraten zwischen 38 und 45 Prozent ebenfalls ein erhebliches Risiko dar. Die Untersuchung ergab außerdem, dass LLMs in 86 Prozent der Fälle keine Sicherheit gegen Cross-Site-Scripting (CWE-80) und in 88 Prozent der Fälle keine Sicherheit gegen Log-Injection (CWE-117) gewährleisten konnten.

„Trotz der Fortschritte in der KI-gestützten Entwicklung ist klar, dass die Sicherheit nicht Schritt gehalten hat“, so Wessling. „Unsere Untersuchung zeigt, dass die Modelle zwar immer besser codieren, sich aber in punctos Sicherheit nicht verbessern. Wir haben außerdem festgestellt, dass größere Modelle nicht wesentlich besser abschneiden als kleinere Modelle, was darauf hindeutet, dass es sich hierbei eher um ein systemisches Problem als um ein Skalierungsproblem von LLMs handelt.“

Management von Anwendungsrisiken im Zeitalter der KI

GenAI-Entwicklungsmethoden wie Vibe Coding beschleunigen zwar die Produktivität, erhöhen aber auch die Risiken. Veracode betont, dass Unternehmen ein umfassendes Risikomanagementprogramm benötigen, das Schwachstellen verhindert, bevor sie in die Produktion gelangen, indem Codequalitätsprüfungen und automatisierte Korrekturen direkt in den Entwicklungsworkflow integriert werden.

Da Unternehmen zunehmend auf KI-gestützte Entwicklung setzen, empfiehlt Veracode die folgenden proaktiven Maßnahmen zur Gewährleistung der Sicherheit:

Integrieren Sie KI-gestützte Tools wie Veracode Fix in die Arbeitsabläufe Ihrer Entwickler, um Sicherheitsrisiken in Echtzeit zu beheben.Nutzen Sie statische Analysen, um Fehler frühzeitig und automatisch zu erkennen und zu verhindern, dass anfälliger Code die Entwicklungspipelines durchläuft.Integrieren Sie Sicherheit in agentenbasierte Arbeitsabläufe, um die Einhaltung von Richtlinien zu automatisieren und sicherzustellen, dass KI-Agenten sichere Codierungsstandards durchsetzen.Verwenden Sie Software Composition Analysis (SCA), um sicherzustellen, dass KI-generierter Code keine Schwachstellen aus Abhängigkeiten von Drittanbietern und Open-Source-Komponenten einführt.Führen Sie maßgeschneiderte KI-gesteuerte Korrekturhinweise ein, um Entwicklern präzise Anweisungen zur Fehlerbehebung an die Hand zu geben und sie in der effektiven Nutzung der Empfehlungen zu schulen.Setzen Sie eine Package Firewall ein, um bösartige Pakete, Schwachstellen und Richtlinienverstöße automatisch zu erkennen und zu blockieren.

„KI-Codierungsassistenten und agentenbasierte Workflows sind die Zukunft der Softwareentwicklung und werden sich weiterhin rasant weiterentwickeln“, so Wessling abschließend. „Jedes Unternehmen steht vor der Herausforderung, sicherzustellen, dass die Sicherheit mit diesen neuen Funktionen Schritt hält. Sicherheit darf kein nachträglicher Gedanke sein, wenn wir die Anhäufung massiver Sicherheitsrisiken verhindern wollen.“

Der vollständige GenAI Code Security Report 2025 steht zum Download auf der Website von Veracode bereit.

Über Veracode

Veracode ist ein weltweit führender Anbieter von Anwendungsrisikomanagement für das KI-Zeitalter. Die Veracode-Plattform basiert auf Billionen von Code-Scans und einer proprietären KI-gestützten Engine zur Fehlerbehebung und wird von Unternehmen weltweit für die Entwicklung und Wartung sicherer Software von der Code-Erstellung bis zur Cloud-Bereitstellung eingesetzt. Tausende der weltweit führenden Entwicklungs- und Sicherheitsteams nutzen Veracode jeden Tag rund um die Uhr, um genaue und umsetzbare Einblicke in ausnutzbare Risiken zu erhalten, Schwachstellen in Echtzeit zu beheben und ihre Sicherheitslücken in großem Umfang zu reduzieren. Veracode ist ein mehrfach ausgezeichnetes Unternehmen, das Funktionen zur Sicherung des gesamten Softwareentwicklungslebenszyklus anbietet, darunter Veracode Fix, statischer Analyse, dynamischer Analyse, Software-Zusammensetzungsanalyse, Containersicherheit, Anwendungssicherheitsmanagement, Erkennung bösartiger Pakete und Penetrationstests.

Weitere Informationen finden Sie unter www.veracode.com, im Veracode-Blog und auf LinkedIn und X.

Copyright © 2025 Veracode, Inc. Alle Rechte vorbehalten. Veracode ist eine eingetragene Marke von Veracode, Inc. in den Vereinigten Staaten und kann in bestimmten anderen Gerichtsbarkeiten eingetragen sein. Alle anderen Produktnamen, Marken oder Logos gehören ihren jeweiligen Inhabern. Alle anderen hier genannten Marken sind Eigentum ihrer jeweiligen Inhaber.

Die Ausgangssprache, in der der Originaltext veröffentlicht wird, ist die offizielle und autorisierte Version. Übersetzungen werden zur besseren Verständigung mitgeliefert. Nur die Sprachversion, die im Original veröffentlicht wurde, ist rechtsgültig. Gleichen Sie deshalb Übersetzungen mit der originalen Sprachversion der Veröffentlichung ab.

Originalversion auf businesswire.com ansehen: https://www.businesswire.com/news/home/20250730534068/de/