Warum KI-generierter Code immer menschliche Überprüfung braucht (und das gar nicht so schlimm ist)

Die Software-Entwicklung verändert sich rasant. Mit Tools wie Claude oder ChatGPT entsteht aus einer Idee in Tagen lauffähiger Code – statt Wochen. Du beschreibst eine Funktion, nimmst Änderungen an, feilst nach und stellst live. Das beschleunigt alles enorm.

Doch ein Haken steckt drin.

Ich habe kürzlich Code durchgesehen, der so entstanden ist. Ein simples internes Tool, nichts Weltbewegendes. Aber typisch für 2024. Kein Drama à la "KI außer Kontrolle". Stattdessen banale Fehler: 28 Stück, meist Sicherheitslücken. Viele davon aus der OWASP Top 10 – seit über 20 Jahren bekannt.

Es geht nicht um gefährliche KI. Sondern darum, dass Tempo die gründliche Planung überholt. Features rasen raus, Risiken bleiben zurück.

Der Fehler liegt nicht bei der KI, sondern an der falschen Frage

Der Code war solide. Gute Struktur, clevere Aufteilung, passende Libraries. Hätte ich selbst gebaut, sähe es ähnlich aus.

Der Unterschied? Die Vorbereitung. Bevor der erste Befehl fällt.

KI liefert präzise, was du forderst. "Baue ein User-Management-System." Fertig. Aber sie fragt nicht: Wer darf zugreifen? Welche Daten sind heikel? Wo prüfst du Authentifizierung? Was, wenn jemand den Frontend-Trick umgeht?

KI spuckt Features aus. Keine sichere Architektur, die dich ruhig schlafen lässt.

Beispiel: Die Admin-Funktion ohne Schutz

Stell dir vor: Eine Serverless-Funktion für Admins. Nutzer erstellen, Passwörter zurücksetzen, Accounts löschen. Team hält sensible Keys server-seitig – clever.

Fehler: Keine Authentifizierung. Gar keine.

Jeder mit DevTools findet die URL, schickt einen POST – und übernimmt. Frontend versteckt den Admin-Button bei Nicht-Admins. Sah sicher aus. War nutzlos. Security by UI? Trugbild.

Klassischer Authorization-Bypass, seit 2003 auf der Liste. Warum hat die KI das übersehen? Prompt war: "Funktion für Admins, die Nutzer erstellen." Sie tut's. Prompt sagte nichts von "nur Admins".

KI weiß nicht, was du vergessen hast.

Die sichere Datenbank – nur auf dem Papier

Deine DB hat Row-Level Security (RLS). Perfekt, um Zugriffe pro Zeile zu filtern. Besonders bei API-Keys im Frontend.

Jemand bittet KI um Multi-User-Support. Sie schreibt Migrationen, neue Tabellen mit RLS. Super.

Aber die fünf alten Tabellen mit echten Daten? Ignoriert. RLS vielleicht an, vielleicht nicht. Kein Check, keine Aktivierung.

Frische Infra, npm run db:push – neue Tabellen sicher, alte offen für alle mit Endpoint-Kenntnissen.

KI war korrekt, aber unvollständig. Sie fixte nur den engen Punkt, ohne den großen Kontext zu klären.

Was das für deine Entwicklung heißt

Niemand will AI-Drops stoppen. Geschwindigkeit zählt. Aber du brauchst Profis, die Architektur prüfen – nicht nur Syntax.

So geht's richtig:

Sicherheits-Checkliste vorab erstellen. Wer ruft den Endpoint? Was bei unbefugtem Zugriff? Ist Data öffentlich? RLS überall? Das als Annahmen festhalten.

Senior-Entwickler für Threat Modeling. Die 28 Fehler waren keine Tippfehler. Strukturelle Lücken. KI codet, Menschen denken sicher.

Auth und Authz explizit in Prompts packen. Nicht "User-Management-Endpoint". Sondern: "Endpoint nur für eingeloggte Admins, dokumentiere Auth-Annahmen."

Auth-Tests separat. Prüfe, dass Unbefugte nichts können – nicht nur, dass Berechtigte können.

Das Muster, das du kapieren musst

KI erzeugt kein unsicheres Code aus Bosheit. Sie macht exakt, was du sagst. Und übersieht, was du nicht sagst.

Das ist Feature, kein Bug. Tools sollen folgsam sein, nicht erfinden. Aber: Verantwortung liegt bei dir. KI umsetzt deine Security-Entscheidungen im Turbo.

Mein Code brauchte einen Menschen: "Endpoint braucht Auth." Fix in Minuten. Alter Vulnerability-Pfad traf auf modernes Workflow – Workflow siegt, dank wachsender Augen.

Modell für die Zukunft: AI für Speed, Menschen für Struktur. Beides unverzichtbar.

Willst du solche Fallen in deinem Code vermeiden? Bei NameOcean kennen wir Startups, die unter Tech-Schulden leiden. Unsere Cloud-Hosting-Plattform hat eingebaute Security: Rate Limiting, API-Key-Management, Audit-Logs. Immer aktiv, egal ob du dran denkst. Ein Sorgen weniger beim schnellen Shipment.