← Zurück zu den Beiträgen
Beitrag #001

Letztens beim Grillfest: ein Bekannter zeigt mir stolz seine App. Er hat sie in 3 Wochen mit Claude Code gebaut. Funktioniert. Sieht gut aus. Er ist begeistert.

Letztens beim Grillfest: ein Bekannter zeigt mir stolz seine App. Er hat sie in 3 Wochen mit Claude Code gebaut. Funktioniert. Sieht gut aus. Er ist begeistert.

Ich bin neugierig, und Clone sein Repository und übergebe es an Chips, meine OpenClaw Instanz, mit der Bitte es mit dem Vulnerability Scanner Shannon https://lnkd.in/dsb5GAw5 zu checken. Ergebnis: Datenbankzugangsdaten im Klartext, manche API End Points funktionieren ohne Authentifizierung, ein Login, der jedes Passwort akzeptiert, das mit dem richtigen Buchstaben anfängt, user und Admins sind in der gleichen Tabelle angelegt, und noch viele andere gefährliche Kleinigkeiten.

Dazu passend habe ich vor circa zwei Wochen hier auf LinkedIn einen Beitrag gelesen, der die Aussage trifft: Ihr braucht keinen CTO als Co-Founder mehr. Die KI ist jetzt euer CTO. Ein Wochenende reicht, um das nötige Wissen zu vermitteln.

Der Gedanke ist verführerisch. Aber stimmt das?

Veracode hat 2025 über 100 Sprachmodelle getestet. Ergebnis: 45 Prozent des KI-generierten Codes enthält Sicherheitslücken aus den OWASP Top 10. Bei Java sind es über 70 Prozent. Bei Cross-Site-Scripting versagen die Modelle in 86 Prozent der Fälle.

KI-generierter Code enthält 2,74 mal mehr Schwachstellen als von Menschen geschriebener.

Das Problem ist nicht, dass KI keinen funktionierenden Code schreibt. Sie schreibt Code so wie der Prompt ihn spezifiziert. Sie validiert Inputs nicht, weil im Prompt nichts von Validierung stand. Sie setzt keine Berechtigungsprüfung, weil niemand danach gefragt hat. Sie weiß nichts über Ihr Bedrohungsmodell, weil Sie keins haben.

Was als Nächstes kommt, ist absehbar. Angreifer nutzen dieselben Werkzeuge. KI scannt Codebasen schneller als jeder menschliche Pentester und generiert Exploit-Code mit minimalem Aufwand.

Ich bin gar nicht gegen KI in der Entwicklung, ganz im Gegenteil. Ich nutze sie selbst täglich. Ich bin dagegen, dass Menschen, die nie Software gebaut haben, glauben, Tutorials auf YouTube machen sie zum CTO. Das ist, als würde man jemandem ein Wochenende OP-Werkzeug erklären und ihn dann operieren lassen. Funktioniert bei einfachen Sachen wahrscheinlich ziemlich gut. Abszess öffnen, Wunde nähen, etc. Bis dann irgendwas komplexeres Auftritt, zum Beispiel Schock oder Blutvergiftung, da reicht dann der Wochenend Crashkurs auf einmal nicht mehr 🙃

Meine ehrliche Frage an Gründer, die mit KI bauen: Wer hat zuletzt geprüft, was Ihre KI da eigentlich produziert hat? Nicht ob es läuft sondern ob es sicher ist.

Wenn Sie es selbst nicht beurteilen können, ist das in Ordnung. Niemand muss alles wissen. Und die KI Tools um Prototypen herzustellen sind wunderbar für genau das: Prototypen herstellen Aber dann holen Sie sich jemanden, der hinschaut, bevor Ihre Nutzer es tun.

Ich biete einen Security Quick Check zum Festpreis an. Genug, um zu wissen, ob Sie ein Problem haben. Bei Interesse freue ich mich über eine Nachricht von Ihnen für ein kostenloses Erstgespräch.