Wenn es in Ihrem Unternehmen wie in vielen Unternehmen so ist, haben Hacker ein Tool infiltriert, das Ihre Softwareentwicklungsteams zum Schreiben von Code verwenden. Kein angenehmer Ort zum Verweilen.

Entwickler nutzen seit langem Websites wie stackoverflow.com als Foren, in denen sie Codebeispiele und Hilfe erhalten können. Diese Community wird schnell durch generative KI-Tools wie chatgpt ersetzt. Heutzutage bitten Entwickler KI-Chatbots um Hilfe bei der Erstellung von Beispielcode, der Übersetzung von einer Programmiersprache in eine andere und sogar beim Schreiben von Testfällen. Diese Chatbots sind zu vollwertigen Mitgliedern Ihrer Entwicklungsteams geworden. Die Produktivitätssteigerungen, die sie bieten, sind einfach beeindruckend.

Nur ein Problem; Wie haben die Mitglieder Ihres generativen KI-Chatbot-Teams das Codieren gelernt? Ausnahmslos durch das Lesen von Milliarden Zeilen Open-Source-Software, die voller Designfehler, Bugs und von Hackern eingeschleuster Malware ist. Wenn Sie Ihre KI-Tools mit Open-Source-Software trainieren lassen, ist das so, als ob Sie einen Bankraub-Fluchtfahrer Fahrunterricht an einer weiterführenden Schule unterrichten lassen. Es hat eine eingebaute Tendenz, etwas Schlechtes zu lehren.

Jährlich gibt es weit über eine Milliarde Open-Source-Beiträge zu verschiedenen Repositories. Allein Github hatte im Jahr 2022 über 400 Millionen. Das ist eine Menge Gelegenheit, schlechten Code einzuschleusen, und eine riesige „Angriffsfläche“, um nach Problemen zu suchen. Sobald Open Source zum Trainieren eines KI-Modells verwendet wurde, ist der Schaden angerichtet. Jeder vom Modell generierte Code wird durch das Gelernte beeinflusst.

Code, der von Ihrem generativen KI-Chatbot geschrieben und von Ihren Entwicklern verwendet wird, kann und sollte genau geprüft werden. Leider ist die Wahrscheinlichkeit, dass Ihre Entwickler einen Chatbot um Hilfe bitten, dann am wahrscheinlichsten, wenn ihnen das nötige Fachwissen fehlt, um den Code selbst zu schreiben. Das bedeutet, dass ihnen auch das Fachwissen fehlt, um zu erkennen, ob der erzeugte Code eine absichtlich versteckte Hintertür oder Malware enthält.

Ich habe LinkedIn gefragt, wie sorgfältig die Leute die Qualität und Sicherheit des von KI erstellten Codes prüfen. Ein paar tausend Eindrücke später reichten die Antworten von „sehr, sehr vorsichtig“ bis „Deshalb verwende ich keine generative KI zum Generieren von Code“, „Zu früh für die Verwendung“ und „[too much risk of] eingebettete Malware und bekannte Designschwäche“. Fakt ist jedoch, dass viele Unternehmen generative KI zur Codeunterstützung nutzen und immer mehr Unternehmen auf den Zug aufspringen.

Was sollten Unternehmen also tun? Zunächst müssen sie den von generativer KI geschriebenen Code sorgfältig prüfen und scannen. Die Art der verwendeten Scans ist von Bedeutung. Gehen Sie nicht davon aus, dass generative KI-Malware mit bekannten Malware-Signaturen übereinstimmt. Der generierte Code ändert sich jedes Mal, wenn er geschrieben wird. Verwenden Sie stattdessen „statische“ Verhaltensscans und Software Composition Analysis (SCA), um zu sehen, ob generierte Software Designfehler aufweist oder böswillige Aktionen ausführt. Es ist auch keine gute Idee, die Testfälle von derselben generativen KI schreiben zu lassen, die Code mit hohem Risiko erzeugt, um zu sehen, ob der Code riskant ist. Das ist, als würde man einen Fuchs bitten, im Hühnerstall nach Füchsen zu suchen.

Während die Risiken der Generierung von schlechtem Code real sind, sind es auch die Vorteile der Codierung mit generativer KI. Wenn Sie generiertem Code vertrauen möchten, gilt das alte Sprichwort „Vertrauen, aber überprüfen“.