Viele Unternehmen nutzen KI zur Generierung von Code

Viele Unternehmen nutzen KI zur Generierung von Code

Beitrag teilen

Ein Anbieter von maschinellem Identitätsmanagement veröffentlicht den neuen Forschungsbericht „Organizations Struggle to Secure AI-Generated and Open Source Code“. Der Bericht untersucht die Risiken von KI-generiertem und Open-Source-Code und die Herausforderungen bei der Sicherung dieses Codes inmitten von hyperaktiven Entwicklungsumgebungen.

Eine Umfrage unter 800 Sicherheitsentscheidern in den USA, Großbritannien, Deutschland und Frankreich ergab, dass fast alle (92 %) Sicherheitsverantwortlichen Bedenken hinsichtlich der Verwendung von KI-generiertem Code in ihrem Unternehmen haben. Weitere wichtige Ergebnisse der Umfrage sind:

Anzeige
  • Spannungen zwischen Sicherheits- und Entwicklerteams: Dreiundachtzig Prozent der Sicherheitsverantwortlichen geben an, dass ihre Entwickler derzeit KI zur Codegenerierung verwenden, wobei 57 Prozent sagen, dass dies inzwischen gängige Praxis ist. Allerdings sind 72 Prozent der Meinung, dass sie keine andere Wahl haben, als den Entwicklern die Verwendung von KI zu gestatten, um wettbewerbsfähig zu bleiben, und 63 Prozent haben in Erwägung gezogen, die Verwendung von KI bei der Codierung aufgrund der Sicherheitsrisiken zu verbieten.
  • Unmöglichkeit, mit KI-Geschwindigkeit zu sichern: Sechsundsechzig Prozent der Befragten gaben an, dass es für Sicherheitsteams unmöglich ist, mit KI-gestützten Entwicklern Schritt zu halten. Infolgedessen haben die Sicherheitsverantwortlichen das Gefühl, die Kontrolle zu verlieren und das Unternehmen zu gefährden. 78 Prozent glauben, dass von KI entwickelter Code zu einer Sicherheitsabrechnung führen wird, und 59 Prozent machen sich Gedanken über die Sicherheitsauswirkungen von KI.
  • Governance-Lücken: Zwei Drittel (63 %) der Sicherheitsverantwortlichen sind der Meinung, dass es unmöglich ist, den sicheren Einsatz von KI in ihrem Unternehmen zu steuern, da sie keinen Überblick darüber haben, wo KI eingesetzt wird. Trotz dieser Bedenken verfügt weniger als die Hälfte der Unternehmen (47 %) über Richtlinien, die den sicheren Einsatz von KI in Entwicklungsumgebungen gewährleisten.

Fehlende Code-Verifizierung steigert Risiken

„Sicherheitsteams sehen sich der Realität gegenüber das KI nun den Code schreibt. Die Entwickler sind bereits von der KI überfordert und wollen ihre Superkräfte nicht aufgeben. Und Angreifer dringen in unsere Reihen ein – die jüngsten Beispiele der langfristigen Einmischung in Open-Source-Projekte und der nordkoreanischen Unterwanderung der IT sind nur die Spitze des Eisbergs“, sagt Kevin Bocek, Chief Innovation Officer bei Venafi. „Jeder mit einem LLM kann Code schreiben, was eine völlig neue Front eröffnet. Es ist der Code, auf den es ankommt, ob es nun Ihre Entwickler sind, die mit KI hypercodieren, ausländische Agenten infiltrieren oder jemand im Finanzwesen, der Code von einem LLM erhält, der auf wer weiß was geschult ist. Es ist also der Code, der zählt! Wir müssen den Code authentifizieren, egal von wo er kommt.“

Bei der Betrachtung spezifischer Bedenken in Bezug auf Entwickler, die KI zum Schreiben oder Generieren von Code verwenden, nannten die Sicherheitsverantwortlichen drei Hauptbedenken:

  • Entwickler würden sich zu sehr auf KI verlassen, was zu niedrigeren Standards führen würde.
  • KI-geschriebener Code wird nicht effektiv auf Qualität geprüft.
  • KI wird veraltete Open-Source-Bibliotheken verwenden, die nicht gut gewartet wurden.

Die Studie zeigt auch, dass nicht nur die Verwendung von Open Source durch KI eine Herausforderung für Sicherheitsteams darstellen könnte:

  • Open-Source-Überlastung: Im Durchschnitt schätzen Sicherheitsverantwortliche, dass 61 Prozent ihrer Anwendungen Open Source verwenden – obwohl GitHub diesen Anteil auf 97 Prozent beziffert. Diese übermäßige Abhängigkeit von Open Source könnte ein potenzielles Risiko darstellen, da 86 Prozent der Befragten der Meinung sind, dass Open-Source-Code bei den Entwicklern eher die Geschwindigkeit als die Sicherheit fördert.
  • Fragwürdige Verifizierung: Neunzig Prozent der Sicherheitsverantwortlichen vertrauen dem Code in Open-Source-Bibliotheken, wobei 43 Prozent sagen, dass sie volles Vertrauen haben. 75 Prozent sagen jedoch, dass es unmöglich ist, die Sicherheit jeder Zeile von Open-Source-Code zu überprüfen. Folglich sind 92 Prozent der Sicherheitsverantwortlichen der Meinung, dass Code Signing eingesetzt werden sollte, um sicherzustellen, dass Open-Source-Code vertrauenswürdig ist.

Code Signing

„Der jüngste CrowdStrike-Ausfall zeigt, wie schnell der Code vom Entwickler zur weltweiten Kernschmelze führen kann“, fügt Bocek hinzu. „Code kann jetzt von überall kommen, auch von KI und ausländischen Agenten. Es wird nicht weniger, sondern mehr Codequellen geben. Die Authentifizierung von Code, Anwendungen und Workloads auf der Grundlage ihrer Identität, um sicherzustellen, dass sie sich nicht verändert haben und für die Verwendung zugelassen sind, ist unsere beste Chance heute und morgen. Wir müssen den CrowdStrike-Ausfall als perfektes Beispiel für künftige Herausforderungen nutzen, nicht als einmaligen Vorfall.“ Die Aufrechterhaltung der Code Signing Chain of Trust kann Unternehmen dabei helfen, die Ausführung von nicht autorisiertem Code zu verhindern und gleichzeitig ihre Abläufe zu skalieren, um mit der Nutzung von KI und Open-Source-Technologien durch Entwickler Schritt zu halten. Venafi`s branchenweit erste Stop Unauthorized Code Solution hilft Sicherheitsteams und Administratoren dabei, ihre Code Signing Trust Chain in allen Umgebungen aufrechtzuerhalten.

„In einer Welt, in der KI und Open Source ebenso mächtig wie unberechenbar sind, wird Code Signing zur grundlegenden Verteidigungslinie eines Unternehmens“, schließt Bocek. „Damit dieser Schutz jedoch Bestand hat, muss der Prozess der Codesignierung ebenso stark wie sicher sein. Es geht nicht nur darum, bösartigen Code zu blockieren – Unternehmen müssen sicherstellen, dass jede Codezeile aus einer vertrauenswürdigen Quelle stammt, indem sie digitale Signaturen validieren und garantieren, dass seit der Signierung keine Manipulationen vorgenommen wurden. Die gute Nachricht ist, dass Code Signing fast überall eingesetzt wird – die schlechte Nachricht ist, dass es meist von Sicherheitsteams ungeschützt bleibt, die dabei helfen könnten, es sicher zu machen.“

Mehr bei Venafi.com

 


Über Venafi

Venafi ist der Marktführer im Bereich Cybersicherheit für das Identitätsmanagement von Maschinen. Vom Fundament bis zur Cloud verwalten und schützen Venafi-Lösungen Identitäten für alle Arten von Maschinen - von physischen und IoT-Geräten bis hin zu Softwareanwendungen, APIs und Containern. Venafi bietet globale Transparenz, Lebenszyklus-Automatisierung und umsetzbare Intelligenz für alle Arten von Maschinenidentitäten und die damit verbundenen Sicherheits- und Zuverlässigkeitsrisiken.


 

Passende Artikel zum Thema

Report: Vertrauenswürdige Windows Anwendungen missbraucht

In seinem neuen Active Adversary Report 2024 belegt Sophos den Wolf im Schafspelz: Cyberkriminelle setzten vermehrt auf vertrauenswürdige Windows-Anwendungen für ➡ Weiterlesen

XDR: Schutz von Daten in Atlassian-Cloud-Applikationen

Mit einer neuen XDR-Erweiterung kann Bitdefender nun auch Daten in Atlassian-Cloud-Applikationen schützen. Somit ist das Überwachen, Erkennen und eine Reaktion auf ➡ Weiterlesen

Ausblick 2025: Lösungen für veränderte Angriffsflächen durch KI, IoT & Co

Die Angriffsfläche von Unternehmen wird sich im Jahr 2025 unweigerlich weiter vergrößern. Die datengetriebene Beschleunigung, einschließlich der zunehmenden Integration von ➡ Weiterlesen

Cloud Rewind für Wiederaufbau nach einer Cyberattacke

Eine neue Lösung für Cyber Recovery und zum Rebuild cloudzentrierter IT-Infrastrukturen. Commvault Cloud Rewind mit neuen Funktionen zum Auffinden von ➡ Weiterlesen

RAG: Innovative KI-Technologien bringen Gefahren mit sich

Seit der Einführung von ChatGPT 2022 wollen immer mehr Unternehmen KI-Technologien nutzen – oft mit spezifischen Anforderungen. Retrieval Augmented Generation ➡ Weiterlesen

Medusa-Ransomware-Gruppe betreibt offenen Opfer-Blog im Web

Auch Cyberkriminelle pflegen neben der direkten Kommunikation mit dem Opfer ihre Außendarstellung. Denn Reputation ist ein wichtiger Erfolgsfaktor für Ransomware-as-a-Service-Unternehmen. Der ➡ Weiterlesen

Lokale Backups: Rückkehr zum sicheren Hafen

Warum Unternehmen lokale Backup-Strategien wiederentdecken: In den letzten Jahren haben sich Unternehmen zunehmend in die Abhängigkeit von Cloud-Lösungen manövriert - ➡ Weiterlesen

Gefährliche Lücken: Studie zu ICS und OT Cybersecurity

Das SANS Institute hat die Ergebnisse seiner Studie 2024 State of ICS/OT Cybersecurity veröffentlicht. Sie zeigt erhebliche Fortschritte bei der ➡ Weiterlesen