Innerhalb von drei Monaten wurden 74 Schwachstellen direkt auf von künstlicher Intelligenz generierten Code zurückgeführt. "Vibe Coding", bei dem gewünschte Funktionen in natürlicher Sprache beschrieben werden und die KI den entsprechenden Code generiert, hat sich 2026 weit verbreitet. Obwohl dieser Ansatz eine erhebliche Produktivitätssteigerung bietet, birgt er ein großes Risiko, wenn der generierte Code ohne angemessenen Überprüfungsprozess in die Produktion überführt wird.
Das Projekt Vibe Security Radar, das 2025 vom Systems Software & Security Lab der Georgia Tech ins Leben gerufen wurde, verfolgt CVEs, die direkt durch KI-generierten Code eingeführt wurden. Die Methodik basiert auf der Analyse von Schwachstellendatenbanken und der Rückverfolgung jedes Fixes bis zum ursprünglichen Commit, um festzustellen, ob ein KI-Coding-Tool die Schwachstelle eingeführt hat.
Die Ergebnisse sprechen für sich. Im Januar 2026 wurden 6 CVEs direkt auf KI-generierten Code zurückgeführt. Im Februar 15 und im März 35. 74 bestätigte Schwachstellen in drei Monaten, mit einer Beschleunigungskurve, die der Verbreitung von KI-Coding-Tools folgt. Und die Forscher schätzen, dass die tatsächliche Zahl 5- bis 10-mal höher liegt, da die meisten KI-generierten Commits keine Signatur tragen, die sie als solche identifizieren würde.
Das Risiko geht nicht so sehr von der künstlichen Intelligenz selbst aus, sondern vom Volumen des Codes, den sie ohne ausreichende Überprüfung produziert. Dies führt zu wiederkehrenden Schwachstellen (SQL-Injections, XSS, unsichere Speicherung, hartcodierte Geheimnisse, unzureichende Authentifizierung, schwache Kryptographie), die in einem beispiellosen Umfang und Tempo in die Produktion gelangen. KI-unterstützte Entwickler produzieren Code 3- bis 4-mal schneller und führen Sicherheitslücken in einem proportionalen Tempo ein.
Verstärkt wird dies durch einen Vertrauensbias. Der generierte Code kompiliert, besteht funktionale Tests und wird oft mit weniger menschlicher Überprüfung integriert als manuell geschriebener Code. OWASP hat sein Top 10 im Jahr 2026 aktualisiert und erstmals Risiken im Zusammenhang mit der Software-Supply-Chain aufgenommen, ein Vektor, der durch KI-generierten Code direkt verstärkt wird.
Ein weiterer Risikovektor ergibt sich aus der Tendenz der KI, Abhängigkeiten zu referenzieren, die gar nicht existieren. Laut einer USENIX-Security-Studie sind fast 20 % der in KI-generiertem Code referenzierten Pakete rein fiktiv. Angreifer nutzen dieses Phänomen, genannt "Slopsquatting", aus, indem sie diese von der KI erfundenen Paketnamen registrieren und dort Schadcode platzieren, ein völlig neuer Supply-Chain-Angriffsvektor.
Das Risiko beschränkt sich nicht auf den Code, den die KI produziert. KI-Coding-Tools selbst sind zu Angriffszielen geworden und eröffnen einen neuen Vektor für die Kompromittierung der Software-Lieferkette.
Im Juli 2025 nutzte ein Angreifer ein fehlkonfiguriertes GitHub-Token aus, um Schadcode in die Erweiterung Amazon Q Developer, Amazons KI-Coding-Assistent, für VS Code einzuschleusen. Die kompromittierte Erweiterung wurde mehrere Tage lang über den VS Code Marketplace verteilt, bevor AWS einen Fix veröffentlichte. Der eingeschleuste Code zielte darauf ab, Befehle auf dem Rechner des Entwicklers auszuführen, und nur ein Syntaxfehler im Payload verhinderte die Ausnutzung.
Der KI-Code-Editor Cursor, von mehr als einer Million Entwicklern genutzt, war ebenfalls Gegenstand mehrerer CVEs im Jahr 2025. Die Schwachstelle CurXecute ermöglichte es einem Angreifer, Code über eine Prompt-Injection durch einen verbundenen MCP-Server aus der Ferne auszuführen. MCPoison nutzte einen ähnlichen Mechanismus, indem eine MCP-Konfigurationsdatei in einem gemeinsam genutzten Repository vergiftet wurde, ein Entwickler, der eine legitime Konfiguration genehmigte, konnte stillschweigend auf eine bösartige umgeleitet werden.
GitHub Copilot blieb ebenfalls nicht verschont. Forscher hatten bereits nachgewiesen, dass es möglich war, unsichtbare Unicode-Zeichen in die Regeldateien von Copilot und Cursor einzuschleusen, die die KI stillschweigend anwiesen, Schadcode in jede generierte Ausgabe einzufügen, ohne dass der Entwickler dies visuell erkennen konnte.
KI-generierter Code landet in Web- und Mobilanwendungen, die in Produktion eingesetzt werden. Und die Empfehlung der Forscher ist klar: Er muss mit der gleichen Sorgfalt behandelt werden wie jeder nicht verifizierte Drittanbieter-Code.
Genau das ist das Kerngeschäft von Yagaan, powered by Pradeo, dessen Application-Security-Lösungen die Analyse und Absicherung von Anwendungscode ermöglichen — ob von einem Entwickler geschrieben oder von künstlicher Intelligenz generiert.
Je mehr KI-generierter Code in Produktionsanwendungen einfließt, desto weniger ist eine systematische statische Analyse optional. Sie wird zur letzten Verteidigungslinie vor der Markteinführung.