Zum Inhalt springen

KI-generierter Code verschärft Anforderungen an Supply-Chain-Sicherheit

Auf den Punkt: Supply-Chain-Sicherheit wird komplex, wenn KI-Komponenten Code generieren und die Verantwortung für Fehler und Sicherheitslücken unklar wird.

Wenn KI-Modelle Quellcode schreiben, erweitert sich das Supply-Chain-Risiko über die reinen Abhängigkeiten hinaus. Bisher konzentrierte sich Sicherheit auf bekannte Pakete und Versionen – jetzt muss auch die Herkunft und Zuverlässigkeit des generierten Codes überprüft werden.

Fünf Jahre lang war die Frage der Software-Supply-Chain-Sicherheit fokussiert: Was steckt im Code? Welche Open-Source-Pakete, welche Versionen, welche transitiven Abhängigkeiten drei Ebenen tief, die niemand absichtlich gewählt hat? Vorfälle wie SolarWinds, Log4Shell und XZ Utils lehrten dieselbe Lektion: Das Risiko liegt weniger im selbst geschriebenen Code als in den Abhängigkeiten, über deren Sicherheit und Wartung Entwickler-Teams oft keine Kontrolle haben.

Mit KI-generierten Code-Komponenten verschieben sich die Sicherheitsperimeter grundlegend. Es reicht nicht mehr aus, Paketabhängigkeiten zu scannen – CIOs und Security-Teams müssen nun auch überprüfen, unter welchen Bedingungen KI-Modelle Code generieren, welche Trainingsdaten diese verwendet haben, und ob generierte Snippets bereits bekannte Schwachstellen replizieren. Ein Modell, das auf Github-Code trainiert wurde, könnte unbeabsichtigt anfälligen Code perpetuieren, ohne dass dieser als externe Abhängigkeit erkannt wird.

Hinzu kommt die Haftungsfrage: Wer trägt die Verantwortung für Sicherheitslücken in KI-generierten Code-Teilen – der Entwickler, der Unternehmen, das KI-Modell betreibt, oder das Unternehmen, das die IDE bzw. den Dienst bereitstellt? Diese Unklarheit macht es für Unternehmen schwieriger, Risiken zu quantifizieren und Sicherheitsrichtlinien durchzusetzen.


Quelle: thehackernews.com · Erschienen 7. Juli 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.3.

Share on: