Künstliche Intelligenz ist auch beim Erstellen von Anwendungs-Code beliebt wie nie und mittlerweile allgegenwärtig. Doch wo liegen die Gefahren für die Application Security beim unbedachten Einsatz als Coding-Hilfe? Wo die Chancen für den AppSec-Bereich? Cycode, Anbieter im Bereich Application Security Posture Management (ASPM), hat die Lage analysiert.
Symbolbild Copilot
Generative Künstliche Intelligenz verbreitet sich rasant und erleichtert den Arbeitsalltag in vielen Branchen. Teils stösst GenAI für Mitarbeitende sogar Türen in Geschäftsbereiche auf, die zuvor komplett verschlossen geblieben sind. Dazu zählen seit geraumer Zeit auch Low-Code- und No-Code-Plattformen, die zu sogenannten Citizen Developers, also Entwicklern ohne technischen Background führten. Doch generative KI abstrahiert selbst die letzten Hürden: Heute kann jeder Anwendungen entwickeln und Code erstellen (lassen). Ein einfacher Prompt in natürlicher Sprache genügt – etwa so: „Erstelle mir eine Taschenrechner-Anwendung in Java, die ein Umrechnen von Werten in verschiedene Währungen ermöglicht“. Schon spuckt der GenAI-Bot den Quellcode aus.
Vibe-Hype versus Sicherheit
Was dieses sogenannte Vibe-Coding allerdings nicht adressiert, ist der Umstand, dass die KI zwar angewiesen werden kann, sicheren Code zu schreiben. Aber wer soll das überprüfen? Die Citizen Developers können es nicht und da auch keine regulierende No-Code- oder Low-Code-Plattform ihrer Coding-Kreativität sicherheitstechnische Grenzen setzt, erstellen Laien mehr und mehr Code, der teilweise ohne Sicherheits-Check in Produktivumgebungen übernommen wird. Der KI vertrauen, dass sie diesen Code sicher erstellt, ist keine Option, denn das ist weder sinnvoll noch tragbar, auch wenn es möglicherweise der Wunschtraum für die Zukunft sein mag.
Die aktuelle Realität sieht jedoch anders aus: Mit jeder der vielen Milliarden Zeilen Code, die GenAI heute im Auftrag der User generiert, vergrössert sich die Angriffsfläche – und die Notwendigkeit, eine sinnvolle Application-Security-Strategie zu besitzen. Dazu gehört unter anderem, Cyber- und Anwendungssicherheit per Shift Left zu implementieren, also bereits zum Zeitpunkt der Code-Erstellung und nicht erst im Nachhinein beim Prüfen der fertigen Anwendung. Denn ab einer bestimmten Grösse der Code-Basis, die in der Regel durch APIs mit weiteren Microservices erweitert wird, genügt ein reiner Perimeterschutz nicht mehr.
Daher ist es wichtig, das Fundament zu schützen und die Anwendung intrinsisch sicher zu gestalten – von Grund auf. Dafür bedarf es einiger Tools, unter anderem:
- SAST (Static Application Security Testing)-Tools scannen den Quellcode auf Schwachstellen, ohne ihn auszuführen.
- SCA (Software Composition Analysis)-Tools analysieren Open-Source-Komponenten in Anwendungen und Dependencies.
- Tools für die Secrets Detection suchen und finden sogenannte Secrets wie API-Keys, Tokens oder Passwörter, die möglicherweise im Anwendungs-Code enthalten sind.
- CI/CD-Security-Tools überprüfen Pipelines auf potenzielle Risiken und schützen Build- sowie Deployment-Prozesse.
KI dein Freund und Helfer
All diese Werkzeuge sind in guten ASPM (Application Security Posture Management)-Plattformen enthalten. Eine noch bessere Alternative dazu ist eine KI-native Application Security Platform, die KI-generierten Quellcode nicht nur überprüft, absichert und überwacht, sondern Künstliche Intelligenz auch proaktiv zum Schutz und zur Generierung sicheren Quellcodes einsetzt. Denn richtig eingesetzt ist KI durchaus ein wertvoller Verbündeter, um die Cybersicherheit zu gewährleisten.
Für die sichere KI-basierte Code-Generierung ist die GenAI-Funktionalität in diesem Fall fest in die Application Security Platform beziehungsweise über sie in die Entwicklungsumgebung der User integriert und unterliegt den dort festgelegten Sicherheitsregularien. Das KI-Modell lernt zudem von Verbesserungen, die menschliche Entwickler implementieren. Auf diese Weise gelingt es, die Code-Generierung zu jeder Zeit nach aktuellsten Cybersecurity-Standards durchzuführen. Gleichzeitig prüft die KI jede Änderung am Code durch die User und gibt Feedback dazu, ob die Änderungen noch den Sicherheitsstandards entsprechen.
Manch eine Application Security Platform stellt KI zudem in Form von autonom agierenden KI-Agenten bereit. Diese testen Anwendungen und führen bei Schwachstellen bereits eine Triage durch, bei denen sie die Kritikalität prüfen und Entwicklern Empfehlungen dazu geben, welche potenziellen Bugs und Exploits sie zuerst fixen sollten.
KI ist weder nur Freund und Helfer noch der Feind in unserem Code – sie hat das Potenzial, uns zu unterstützen, kann aber auch Probleme verursachen. Es ist daher wichtig, sie mit Bedacht einzusetzen und ihr einen klaren, regulatorischen Rahmen zu verpassen, um negative Auswirkungen zu vermeiden und den positiven Nutzen zu maximieren.
Der Autor
Jochen Koehler ist Vice President of Sales EMEA bei Cycode
Über Cycode
Cycode ist Anbieter der führenden AI-Native Application Security Platform, die IT-Teams unterstützt, Schwachstellen und Sicherheitslücken in Anwendungen effektiv zu bekämpfen. Dafür sorgen die nativen Scanner von Cycode sowie optional Drittanbietertools, die Unternehmen nahtlos integrieren können. www.cycode.com