Sven Stadhouders
15 Min. kennenlernen

15 Min. kostenlos • Unverbindlich

Vibe KI-Coding: Das Risiko im fremden Open-Source-Code

6 Min. Lesezeit

Worum es geht

Wer Software schnell mit KI bauen lässt, holt ungeprüft fremden Open-Source-Code ins Projekt. Warum das ein Risiko für Ihre Reputation ist und was Engineering-Disziplin daran ändert.

Auf einen Blick

  • Vibe Coding mit KI-Agenten kann automatisch fremden, ungeprüften Open-Source-Code in Ihr Projekt und damit in den Browser Ihrer Kunden laden.
  • Das ist kein theoretisches Risiko. Schadhafter Code kann Nutzerdaten abgreifen, ohne dass es bemerkt wird.
  • Engineering-Disziplin bedeutet, Open-Source-Software zu prüfen, bevor sie eingebaut wird, nicht erst wenn etwas schief läuft.
  • Schnell gebaut und sicher gebaut schließen sich nicht aus, aber es braucht einen definierten Prozess dazwischen, den erfahrene Ingenieure verantworten.

Neulich besuchte ich eine bekannte Startup-Webseite und deren SaaS-Plattform. Im Hintergrund liefen lauter rote Fehlermeldungen, an denen sich offenbar längst niemand mehr stört.

Geschenkt. Das Sichtbare ist selten das Problem. Das eigentliche Risiko liegt eine Ebene tiefer. Bei dem, was beim schnellen Drauflosbauen mit KI ungefragt mitkommt.

Genau darum geht es hier. Nicht um diese eine Webapp, die war nur der Auslöser. Sondern um ein Risiko, das kaum jemand sieht, obwohl gerade fast jeder seine Software von einer KI schreiben lässt.

Schnell gebaut heißt nicht sicher gebaut

Vibe Coding bedeutet: Sie sagen der KI in eigenen Worten, was die Software können soll, und die KI schreibt den Code dazu. Schnell, günstig, ohne dass ein erfahrener Entwickler noch einmal draufschaut. Aus einer Idee wird so an einem Vormittag eine fertig aussehende Webseite oder Webapp. Erst mal großartig.

Nur passiert dabei etwas, das die wenigsten ahnen. Damit es so schnell geht, baut die KI vorgefertigte Software-Bausteine aus dem Internet ein, sogenannten Open-Source-Code. Geschrieben von Fremden. Meist ungeprüft übernommen.

Stellen Sie sich vor, Sie ziehen einen Laden in Rekordzeit hoch. Die Regale, die Kasse, das Schaufenster: alles von Unbekannten geschenkt bekommen und sofort aufgestellt. Ohne nachzusehen, ob in der Kasse heimlich eine Kamera steckt.

So sieht moderne Software heute aus. Sie besteht zum größten Teil aus solchen fremden Bausteinen. Das ist kein Sonderfall, sondern der Normalfall bei allem, was schnell entstehen soll.

Wenn der KI-Agent Softwarepakete erfindet

So ein Baustein heißt im Fachjargon Paket oder Library. Ein einziger Befehl genügt, und der Baustein wandert aus dem Netz in das Projekt. Der Entwickler tippt so etwas wie “install zahlungsmodul” ein, und schon steckt das Paket im Code. Mitsamt allem, was darin verborgen ist.

Die KI schreibt schnell. Aber niemand hat geprüft, was sie dabei ins Haus holt.

Und jetzt kommt der Teil, über den noch viel zu selten gesprochen wird.

KI-Agenten erfinden Paketnamen. Sie empfehlen Bausteine, die es gar nicht gibt. Klingt nach einem harmlosen Fehler, ist aber keiner. Denn Angreifer kennen dieses Muster genau. Sie beobachten, welche Namen die KI immer wieder erfindet, registrieren genau diese Namen und hinterlegen dort ihren Schadcode.

Wer den Vorschlag der KI ungeprüft übernimmt, holt sich den Schadcode freiwillig ins Haus. Die KI halluziniert einen Namen, ein Angreifer besetzt ihn, und aus Bequemlichkeit schaut niemand nach.

Der erfundene Name ist dabei nur eines von mehreren Einfallstoren. Ein zweites ist noch tückischer. Ein Baustein kann beim Einbau völlig sauber sein und erst Monate später gefährlich werden. Denn Pakete bekommen Updates, oft ganz automatisch. Übernimmt ein Angreifer ein bestehendes, vertrautes Paket, schiebt er seinen Schadcode einfach mit dem nächsten Update hinterher. In ein Projekt, das vor einem halben Jahr noch sauber war.

Das steckt hinter dem Wort Lieferketten-Attacke (Supply Chain Attack). Sie vertrauen nicht einem einzelnen Baustein. Sie vertrauen jedem, der diesen Baustein in Zukunft verändert, außerhalb Ihrer Kontrolle.

Das ist kein Grund, den KI-Agenten zu verteufeln. KI ist ein mächtiges Werkzeug. Es ist ein Grund, gewissenhaft zu arbeiten.

Fremder Code läuft im Browser Ihrer Kunden

Jetzt wird es ernst. Ein Teil dieser fremden Bausteine läuft nämlich nicht auf Ihrem Server, wo Sie ihn unter Kontrolle hätten. Er läuft im sogenannten Frontend, also in dem Teil der Software, der direkt im Browser des Besuchers ausgeführt wird. Auf dem Laptop oder dem Handy Ihres Kunden. Während er gerade seine Daten eintippt.

Ein einziger fauler Baustein reicht. Er kann still mitlesen, was Ihre Kunden eingeben:

  • die Kreditkartennummer im Bezahlformular,
  • das Passwort beim Login,
  • die Sitzungsdaten, mit denen sich ein fremdes Konto übernehmen lässt.

Und die Daten fließen ab, ohne dass irgendjemand etwas davon bemerkt.

Warum trifft es ausgerechnet das Frontend so hart? Den Code auf Ihrem Server können Sie abschotten. Sie kontrollieren die Umgebung, Sie sehen jeden Zugriff. Der Code im Browser Ihres Kunden läuft dagegen außerhalb Ihrer Reichweite. Für den Besucher sieht die Seite dabei völlig normal aus. Keine Fehlermeldung, kein Warnsignal. Genau das macht solche Angriffe so wirksam.

Das ist kein Schreckgespenst, sondern Alltag. Unter dem Namen Magecart greifen Angreifer seit Jahren Bezahlseiten an, indem sie genau solchen mitlesenden Code einschleusen. Beim Vorfall um den Dienst polyfill.io im Jahr 2024 gelangte über einen einzigen fremden Baustein Schadcode auf hunderttausende Webseiten gleichzeitig. Keiner der Betreiber hatte diesen Code selbst geschrieben. Sie hatten ihn nur eingebunden. Das hat genügt.

Wer haftet, wenn Daten abfließen?

Und damit zu der Frage, die kaum jemand stellt: Wer haftet eigentlich, wenn auf Ihrer Website die Daten Ihrer Kunden abgegriffen werden?

Ich bin kein Jurist und gebe hier keine Rechtsberatung. Aber man muss kein Jurist sein, um die Richtung zu erkennen. Verantwortlich ist nicht der fremde Baustein. Auch nicht die KI. Sondern derjenige, der die Seite betreibt. Mit “war doch nur eine fertige Library” möchte niemand vor einem Kunden, einem Prüfer oder einer Aufsicht stehen.

Spätestens hier kommt von manchen der Einwand: “Jetzt spiel dich mal nicht so auf, da passiert doch nichts.” Schon klar. Deshalb schnallen Sie sich im Auto ja auch an.

Es geht nicht darum, wie wahrscheinlich ein Schaden ist. Es geht darum, wie wahrscheinlich er ist, multipliziert mit dem Schweregrad. Ein Autounfall ist ebenfalls unwahrscheinlich, und Sie schnallen sich trotzdem an. Weil es schwerwiegende Konsequenzen hat, falls es doch passiert und Sie nicht angeschnallt sind.

Mit den Daten Ihrer Kunden ist es nicht anders. Vielleicht geht es tausendmal gut. Und bei dem einen Mal, bei dem es schiefgeht, geht es um Schadenersatz, Abmahnung und Ihren Ruf. Schnell gebaut heißt eben noch lange nicht sicher und gut gebaut.

Drei Fragen an jeden, der für Sie entwickelt

Sie müssen keine einzige Zeile Code lesen können, um dieser Verantwortung gerecht zu werden. Sie müssen nur die richtigen Fragen stellen. Wer für Sie entwickelt, sollte auf diese drei eine klare Antwort haben:

  1. Welche fremden Pakete stecken in der Software, und woher stammen sie? Eine gute Antwort ist eine Liste, kein Schulterzucken.
  2. Was prüfen Sie, bevor ein neues Paket hinzukommt? Gibt es das Paket wirklich, wer pflegt es, wie aktuell ist es?
  3. Was genau bekommen meine Kunden in den Browser geliefert? Dort sind die Daten am verwundbarsten.

Das sind keine Fragen für Spezialisten. Es sind Sorgfaltsfragen, wie Sie sie jedem Handwerker stellen würden, der Ihnen etwas ins Haus einbaut.

Die Lieferkette gehört zur Architektur, nicht zum Zufall

Die gute Nachricht: Das lässt sich beherrschen. Nicht mit weniger KI, sondern mit Disziplin. Die Kette aus fremden Bausteinen, die in eine Software einfließen, ist genau die erwähnte Lieferkette. Und die gehört zur Architektur, nicht dem Zufall überlassen.

Manche träumen schon von der dunklen Software-Fabrik: Die KI baut, und keiner schaut mehr hin. Genau das ist der Fehler. Software, für die sich kein Mensch mehr verantwortlich fühlt und die nicht verstanden wurde, wie sie funktioniert, ist keine Innovation. Sie ist ein Risiko mit Logo drauf.

Genau da setze ich an. Die KI nutzen, um schnell zu sein. Und mit konsequenter Engineering-Disziplin dafür sorgen, dass Ihr Ruf dabei keinen Schaden nimmt.

Sven Stadhouders

Sven Stadhouders

KI-Berater und Ingenieur, der mittelständische Unternehmen bei der Integration von KI-Automatisierungen unterstützt.

Projekt besprechen →
← Alle Beiträge