Die Art und Weise, wie wir Software schreiben, verändert sich viel schneller, als Entwickler erwartet hätten. Im Mittelpunkt steht dabei „Vibe Coding“ – eine Technik, bei der Programmierer generative KI nutzen, um Code schneller zu produzieren, als es ein Mensch jemals könnte.
Um das Ausmaß dieser Veränderung zu verdeutlichen, berichtete Gartner, dass die KI-gestützte Codeentwicklung innerhalb von drei Jahren voraussichtlich 40 % aller neuen Unternehmenssoftware ausmachen wird – und das ist eine bescheidene Schätzung.
Mitbegründer und CTO von Chainguard.
Im besten Fall schafft Vibe-Coding neue Möglichkeiten für Entwickler, indem es ihnen hilft, zeitaufwändige Aufgaben, wie das Schreiben von Boilerplate-Code, viel schneller zu erledigen. Diese zusätzliche Zeit gibt den Teams die Möglichkeit, sich auf den Aufbau, die Innovation und die Bereitstellung produktspezifischer Werte zu konzentrieren.
Mit der zunehmenden Verbreitung von Vibe Coding sind jedoch auch Bedrohungen entstanden, denen Entwickler, Sicherheitsteams und technische Führungskräfte einen Schritt voraus sein müssen. Da immer mehr Menschen über Eingabeaufforderungen in natürlicher Sprache mit Code interagieren, werden Entwickler möglicherweise zunehmend davon distanziert, Quellcode direkt zu verfassen.
Dadurch entsteht die Möglichkeit, dass schädlicher Code in Software-Stacks eingefügt wird.
Geschwindigkeit trifft auf Kontrolle
Mit der Vibe-Codierung können Entwickler nicht nur mehr Code produzieren, sondern durch schnelleres Refactoring und Experimentieren auch die Messlatte für die Codequalität höher legen.
Bei richtiger Umsetzung geht es beim Vibe-Coding nicht nur um eine schnellere Ausgabe, sondern auch um die Stärkung der Code-Review-Funktion. Dies kann in gewisser Weise mehr Nachwuchsentwickler auf leitende Führungspositionen vorbereiten, bei denen die Codeüberprüfung eine Kernaufgabe ist.
Gleichzeitig erweitert die Vibe-Codierung die Oberfläche der Codebasis auf subtile, aber bedeutende Weise, wodurch sie einem höheren Risiko für Fehler, Missbrauch und sogar böswillige Einschleusung ausgesetzt wird.
Selbst wenn sich die individuelle Qualität des KI-generierten Codes verbessern würde (was nicht immer garantiert ist), könnte die schiere Menge des generierten Codes zu einer höheren Gesamtfehlerquote führen.
Gründliche Überprüfung, Tests und gesunde Skepsis sind für jeden Code wichtig, egal ob von Menschen oder KI geschrieben, damit Fehler oder unsichere Muster nicht durchs Raster fallen.
KI ähnelt in vielerlei Hinsicht einem unermüdlichen Nachwuchsingenieur ohne Ego. Es verfügt über ein großes Potenzial, bedarf jedoch ständiger Überwachung und Leitplanken. Wenn ein Praktikant die Produktion unterbricht, geben wir nicht nur dem Praktikanten die Schuld; Wir erkennen darin ein Versagen der Prozesse und der Aufsicht des Teams.
Dasselbe gilt auch für KI. Wenn Sie zulassen, dass ein KI-Agent schädlichen Code in die Produktion schiebt, ist nicht nur die KI fehlgeschlagen; Es handelt sich um eine Aufschlüsselung der Überprüfung, Tests und Governance. Die Ergebnisse der Vibe-Codierung können mit geeigneten Leitplanken und Verfahren transformativ sein.
Ohne sie besteht die Gefahr, dass durch Unterlassung Schwachstellen entstehen, und Sie gefährden Ihre Sicherheit.
Verantwortlichkeit über die Autorisierung hinaus: Provenienz zuerst
Der Aufstieg der Vibe-Codierung ähnelt den Anfängen der Open-Source-Software. Entwickler könnten schneller erstellen, indem sie Code wiederverwenden, den jemand anderes geschrieben und veröffentlicht hat, anstatt ihn selbst von Grund auf neu zu schreiben.
Doch als Open Source zur Grundlage moderner Software wurde, lernten Unternehmen eine entscheidende Lektion: Sie sind immer noch dafür verantwortlich, was in Ihren Umgebungen ausgeführt wird, auch wenn Sie nicht jede Komponente erstellt haben. Das Gleiche gilt jetzt auch für die Vibe-Codierung.
KI macht handwerkliches Können nicht überflüssig, sie verändert den Kontext, in dem sie eingesetzt wird. Der gute Einsatz von KI erfordert viel menschliche Arbeit und Entwickler müssen ihre Denkweise über Qualität, Überprüfung und Eigentum ändern.
Ein leichter Fehler besteht darin, automatisch generierte Ideen zu akzeptieren, ohne sie vorher zu prüfen. Dies führt nicht nur zu KI-Einbußen, sondern könnte Ihre Build-Umgebungen auch anfälliger für Schwachstellen machen.
KI ersetzt Zero-Days durch Geschwindigkeit
Bedrohungsakteure nutzen jetzt dieselben generativen KI-Funktionen, die Entwicklern einen Vorteil verschaffen. In der Vergangenheit nutzten Hacker „Zero-Day“-Schwachstellen (Fehler, die den Verteidigern nicht bewusst waren), um raffinierte Angriffe auf Tech-Stacks zu starten.
Tatsächlich rührt der Begriff „Zero Day“ von der Tatsache her, dass Verteidiger null Tage Zeit hatten, um Schwachstellen zu schließen, bevor sie sich gegen sie verteidigen mussten. Früher bedeutete dies, dass ein Angreifer vor dem Softwareanbieter Kenntnis von einer Sicherheitslücke haben musste.
Heute hat sich das Szenario geändert. Vibe-Hacking verschafft Cyberkriminellen Zugriff auf dieselben generativen KI-Tools wie Entwickler; Sie müssen nicht länger darauf warten, Zero-Day-Angriffe ausfindig zu machen oder teure Zero-Day-Angriffe zu tätigen.
Dies liegt daran, dass es in der Regel Wochen oder Monate dauert, bis Upstream-Distributionen Schwachstellen beheben, und sogar noch länger, bis Benutzer diese Patches implementieren.
Daten der Threat Intelligence Group (GTIG) von Google zeigen, dass die Geschwindigkeit, mit der Angreifer bekannte Schwachstellen ausnutzen, dramatisch abnimmt. Angreifer können jetzt bekannte Schwachstellen ausnutzen, bevor die meisten Unternehmen die Möglichkeit haben, sie zu beheben.
In einer von Hackern geprägten Welt muss die Sicherheit kontinuierlich, proaktiv und vollständig in den Softwareentwicklungslebenszyklus integriert sein. Als führende Ingenieure müssen wir Räume schaffen, in denen KI sicher und transparent eingesetzt wird und in denen Entwickler durch diese Tools gestärkt und nicht ins Abseits gedrängt werden.
Ein sicherer Ansatz zur Vibe-Codierung
Das Setzen des Wortes „KI“ vor Produktivitätstools ändert nichts an der Verantwortung des Einzelnen, der es nutzt. Ebenso ändert sich nichts an der Verantwortung des Unternehmens, das sie einsetzt, wenn man das Wort „KI“ vor den Begriff „Automatisierung“ stellt.
Da KI unsere Bauweise beschleunigt, entwickelt sich die Rolle des Entwicklers vom Schöpfer zum Verwalter. Unsere Verantwortung besteht nicht darin, die KI zu überholen, sondern sicherzustellen, dass ihre Produkte einer genauen Prüfung standhalten.
Der sicherste Weg nach vorn kombiniert Automatisierung mit Verantwortlichkeit und Innovation mit Absicht. Wenn Entwickler die Verantwortung für jede KI-gestützte Codezeile übernehmen, kommen wir einer Welt näher, in der sich Geschwindigkeit und Sicherheit gegenseitig verstärken.
Wir haben den besten Online-Cybersicherheitskurs vorgestellt.
Dieser Artikel wurde im Rahmen des Expert Insights-Kanals von TechRadarPro erstellt, in dem wir die besten und klügsten Köpfe der heutigen Technologiebranche vorstellen. Die hier geäußerten Ansichten sind die des Autors und nicht unbedingt die von TechRadarPro oder Future plc. Wenn Sie daran interessiert sind, einen Beitrag zu leisten, erfahren Sie hier mehr: https://www.techradar.com/news/submit-your-story-to-techradar-pro
