Die generative KI ist inzwischen fest in viele Arbeitsabläufe eingebettet, und so ist es auch bei Wildix. Wir verwenden KI-Tools zur Unterstützung bei der Erstellung von Inhalten und E-Mails, die von unserem Copy-Team überwacht werden, und unsere Entwickler verwenden KI-Tools zur Erstellung von Code. Selbst unser CEO verwendet KI, um E-Mails zu verfeinern und zu gewährleisten, dass alles klar ist.
All dies geschieht unter dem wachsamen Auge von qualifizierten Fachleuten, die die Systeme, die sie verwenden, und ihre Grenzen kennen. Sehen wir uns also an, was passiert, wenn Entwickler KI ohne angemessene Aufsicht einsetzen.
Einige Statistiken: Entwickler und KI
Eine der größten Umfragen, die im Jahr 2023 um das Feedback von Programmierern gebeten hat, wurde von Zero to Mastery, erstellt, einer umfassenden Ressource für Entwickler, die ihre Fähigkeiten verbessern möchten. Darin beschreibt das Unternehmen, wie:
- 84,4 % der Programmierer verwenden KI-Tools.
- Am weitesten verbreitet ist ChatGPT mit 74,9 % wöchentlicher Nutzung.
- 58,5 % nutzen KI zum Schreiben von Code.
- 3,6 % derjenigen, die keine KI verwenden, sagen, dass die Lernkurve sie abschreckt.
- 13,4 % derjenigen, die keine KI verwenden, sagen, dass die Genauigkeit Anlass zur Sorge gibt.
- 77,8 % der Programmierer glauben, dass KI-Tools einen positiven Einfluss haben.
Insgesamt zeichnet dies ein positives Bild von der Verwendung von KI durch qualifizierte Entwickler. Und solange die betreffenden Entwickler die Grundlagen des von ihnen verwendeten Codes verstehen und ihn testen können, gibt es damit kein Problem. Problematisch wird es dann, wenn die Entwickler zur Verwendung von KI gedrängt werden, sie nicht ganz verstehen, was sie tun, und zweifelhafter oder fehlerhafter Code in die Codebasis gelangt.
Die Risiken des KI-Codes
„Ein großartiger Entwickler, mit ChatGPT ist noch besser“, sagt Dimitri Osler, Gründer und CTO von Wildix. „Aber es ist auch ein großes Risiko in den Händen von unerfahrenen Entwicklern oder Unternehmen, die nicht die erforderlichen Sicherheits- und Qualitätsprüfungen durchführen. Das Potenzial für Entwickler, Code zu verwenden, den sie nicht verstehen oder nicht unterstützen oder warten können, ist enorm.“
Aus unserer Sicht ist die KI ein weiteres Werkzeug. Ihr Einsatz ist weder gut noch schlecht – es ist vielmehr die Art und Weise, wie sie eingesetzt wird, die gut oder schlecht sein kann. Das Gleiche gilt für Tools wie Stack Overflow oder GitHub:
- Stack Overflow ist ein Q&A-Forum, in dem Entwickler Meinungen und Antworten zu ihrem Code erhalten können.
- GitHub ist ein Repositorium, in dem Entwickler Code austauschen und an Projekten zusammenarbeiten können.
Die Verwendung dieser beiden Tools birgt ein gewisses Risiko in sich. Die anfänglichen Spekulationen rund um den 3CX-Einbruch im März 2023 deuteten darauf hin, dass er von einem infizierten Code-Repositorium auf GitHub ausging, obwohl sich dies später als falsch herausstellte. Tatsächlich war sogar GitHub selbst durch eine RepoJacking Technik anfällig, bei der böswillige Akteure durch die Übernahme des damit verbundenen Benutzernamens die Repositorien übernehmen konnten. Anschließend ersetzten sie diese Repositorien durch bösartigen Code. Dieses Problem wurde inzwischen behoben.
Das bedeutet nur, dass bösartiger Code nichts Neues ist. Allerdings verschlimmert die KI ein bestehendes Problem potenziell.
„Das beste Ergebnis für schlecht erstellten KI-Code ist, dass er einfach nicht funktioniert“, so Dimitri. „Der Code wird abgelehnt und es muss ein neuer Code erstellt werden, der hoffentlich diesmal funktioniert. Das schlimmste Szenario ist, dass der Code anfangs funktioniert, dann aber ein Sicherheitsrisiko darstellt, weil niemand die Zeit hatte zu testen, was er tatsächlich macht.“
Die Bedeutung regelmäßiger Tests
Der entscheidende Faktor für die Sicherheit der Systeme sind also regelmäßige Tests durch hoch qualifizierte Entwickler. Damals, im März 2023, sagte Dimitri diese Worte: „Sicherheit ist nicht billig. MSPs können es sich einfach nicht mehr leisten, das Risiko einzugehen, und Ihr Ruf wird darunter leiden, wenn Sie die billigste Option wählen.“
Diese Worte bezogen sich auf die Sicherheitslücke bei 3CX, die sowohl bei MSPs als auch bei ihren Endbenutzern für viel Stress und Sorgen gesorgt hat. Ein Teil des Problems scheint darin zu bestehen, dass der Code ohne angemessene Tests eingefügt wurde. Das ist eines der großen Probleme bei billigeren VoIP-Produkten, die ihre Kosten so weit wie möglich senken müssen, um ihre Preisvorstellungen zu erfüllen.
KI kann auch die Tests erheblich beschleunigen. „Wir setzen KI-Tools ein, um einige Tests zu automatisieren, einfach weil sie den Code schnell auf Fehlerfreiheit überprüfen können“, erklärt Dimitri. „Es handelt sich um eine zusätzliche Ebene zu unseren Prozessen, nicht um einen Ersatz, aber es beschleunigt den Prozess, da die Qualitätssicherung sauberen Code zur Überprüfung erhält.“
Letztlich erfordert der KI-Code extrem erfahrene Entwickler, die den Prozess überwachen, zumal oft nicht klar ist, wie der ursprüngliche Code von der KI-Software erstellt wurde. Abkürzungen bei der Sicherheit zu nehmen, ist für Wildix einfach keine Option, vor allem, weil so viele Benutzer auf unsere Systeme angewiesen sind.
„Unabhängig davon, ob Sie KI-Code verwenden oder nicht, ist ein gründliches Testprogramm erforderlich“, so Dimitri. „KI ist einfach ein Werkzeug, und es sind die damit verbundenen Prozesse, die darüber entscheiden, ob man es gut oder schlecht einsetzt.“
KI-Code wird es aber immer geben, und es liegt an den Unternehmen, einen Weg zu finden, ihn zu nutzen, ohne ihre Benutzer zu gefährden.
Wenn Sie mehr über Sicherheit und unserem Sicherheitsethos „Secure-by-Design“ erfahren möchten, abonnieren Sie unser kostenloses Magazin!