home

Risiken AI-generierten Codes: Warum 95 % der Unternehmen auf Sicherheitsprüfungen verzichten

by | Dec 30, 2025 | Uncategorized | 0 comments

Risiken AI-generierten Codes: Warum 95 % der Unternehmen auf Sicherheitsprüfungen verzichten

AI-generierter Code hat in der Software‑Lieferkette erheblichen Einfluss: 95 % der Unternehmen nutzen ihn, während weniger als 25 % ihn auf Sicherheit prüft – ein Gap, das traditionelle AppSec‑Programme nicht abdecken.

Verbreitung von AI-Code

  • 95 % der Organisationen setzen AI‑Tools zur Codegenerierung ein, 30 % des Codes bei großen Unternehmen, 90–95 % bei Start‑ups.
  • Prognose: Bis 2030 wird 95 % des Codes AI‑generiert sein.

Sichere Evaluierung fehlt

  • Nur 24 % prüfen AI‑Code umfassend auf IP, Lizenz, Sicherheit und Qualität.
  • Dies führt zu einer verwundbareren Software‑Lieferkette, die nicht für diesen Bedarfsbereich ausgelegt ist.

Risiken aus Sicht von Black Duck und Sectigo

  • AI‑Code schafft Blindspots in Provenienz, Verpflichtungen und Exploit‑Fähigkeiten.
  • Erschwert Audit und Governance, während Schnelllieferungen zunehmen.

Ergebnisse des Black Duck‑Berichts

  • Dependency Management: Teams mit starkem Tracking 85 % hochgradig vorbereitet, 57 % aller Befragten.
  • Automation: Kontinuierliche Monitoring-Tools beheben kritische Schwachstellen 60 % der Zeit innerhalb eines Tages, im Vergleich zu 45 % insgesamt.
  • SBOM‑Validierung: 63 % melden hohe Vorbereitung auf Drittanbieter‑Software, 59 % beheben kritische Probleme innerhalb eines Tages.
  • Compliance‑Reife: Mindestens drei Kontrollelemente bringen 49 % der Unternehmen an die One‑Day‑Remediation, vier oder mehr erhöhen dies auf 54 %.
  • Regulatory‑Complexity wird von 35 % als größte Herausforderung genannt.

Empfehlungen zur Risikominimierung

  • Behandle AI‑Output wie Drittanbieter‑Software, setze Standardkontrollen in den Entwicklungsworkflow ein.
  • Starte mit Dependency Management und setze automatische, kontinuierliche Monitoring‑Tools ein.
  • SBOM‑Validierung von Lieferanten als Pflicht.
  • Nutze AI‑gesteuerte Code‑Review‑Dienstleistern, um Skalierbarkeit sicherzustellen.

Zukunftsvision laut Qualys

  • Vielfältige AI‑Modelle: Training auf diversen Datensätzen, um Code‑Reviews besser zu ermöglichen.
  • MCP‑Automatisierung: Automatisierte Sicherheitsprüfungen & Patch‑Workflows (Code → Vendor A → Vendor B).
  • QA‑Evolution: Tests mit AI‑generierten Test‑Harnessen und Szenarien.
  • Bessere Garantien zu Trainingsdaten: Klare Nachweise über Trainings‑Quellen, um Lizenz‑Compliance sicherzustellen.

Kontext zu aktuellen Bedrohungen

  • Erwähnung von OWASP‑Richtlinien, LangChain‑Core‑Vulnerabilität, und die steigende Rolle von Agenten‑KI in Angriffsszenarien.

Quelle: https://www.scworld.com/news/ai-generated-code-leaves-businesses-open-to-supply-chain-risk

Submit a Comment

Your email address will not be published. Required fields are marked *