KI Coding Assistenten und Sicherer Code: Möglichkeiten, Grenzen, Angriffe

Der Einsatz von Large Language Models (LLMs) und Coding-Assistenten wie GitHub Copilot oder Tabnine gewinnt zunehmend an Bedeutung in der Softwareentwicklung. Neben Produktivität stellt sich die Frage, ob diese Systeme auch sicherheitsrelevante Schwachstellen zuverlässig erkennen und beheben können. Bisherige Studien zeigen, dass KI-gestützte Systeme syntaktische Muster gut erfassen, aber bei semantischen und kontextabhängigen Sicherheitsproblemen Defizite haben. Es fehlt eine systematische Untersuchung, wie verschiedene Modelle mit klassischen Schwachstellen, realen CVEs oder obfuskiertem Code umgehen.
In dieser Arbeit wurden sieben Modelle (GPT-5, Claude Sonnet 4.5, Qwen3-Coder-30B, Amazon Q Developer, Copilot GPT-5, Copilot Claude, Tabnine) anhand von OWASP-Snippets, bewusst unsicheren Projekten, realen CVEs und sicheren Bibliotheken getestet. Zusätzlich wurde die Robustheit gegenüber Code-Obfuskation (Namensänderung, manuelle und toolgestützte Obfuskation) untersucht.
Die Ergebnisse zeigen, dass OWASP-Snippets fast immer erkannt wurden (11–12/12), unsichere Projekte mit hoher Quote, komplexe Schwachstellen wie RegexDOS, Rate Limiting und Session Fixation jedoch kaum. Reale CVEs blieben weitgehend unentdeckt (0–2/5). Verbesserungen wurden nur teilweise geliefert, oft oberflächlich, falsch oder unvollständig, oder nur als Empfehlungen ohne Code. LLMs schnitten insgesamt besser ab als Coding-Assistenten, während die IDE-Integrationen mehr False Positives und sprachliche Inkonsistenzen zeigten. Obfuskation führte insbesondere in Stufe 3 zu deutlichen Erkennungsverlusten.
Die Ergebnisse bestätigen, dass LLMs und Coding-Assistenten als unterstützende Reviewer geeignet sind, jedoch nicht als alleinige Instanz für sichere Softwareentwicklung. Zukünftige Forschung sollte sich auf andere Sprachen oder andere Modelle, Prompt Engineering, die Integration externer Wissensquellen (z. B. CVE-Datenbanken), semantische Analysen und De-Obfuskationsmechanismen konzentrieren. Ein hybrider Ansatz aus KI-gestützter Analyse und menschlichem Review erscheint als vielversprechender Weg, um die Softwaresicherheit nachhaltig zu verbessern.