Das lesenswerte Paper des Bundesamt für Sicherheit in der Informationstechnik (BSI) und ANSSI - Agence nationale de la sécurité des systèmes d'information, beleuchtet ausgewogen die Chancen und Risiken von KI-Code-Assistenten. 

Kurze Zusammenfassung:

🧑‍💻 KI-Programmierassistenten können in verschiedenen Phasen der Softwareentwicklung genutzt werden. Ihre Hauptaufgabe ist das Erstellen von Quellcode. Zusätzlich können sie Entwickelnden helfen, sich schneller in neuen Projekten zurechtzufinden, indem sie Quellcode erklären, und den Entwicklungsprozess unterstützen, zum Beispiel durch die Generierung von Testfällen oder Dokumentationen. 

✍️Der Bericht beleuchtet die Vorteile dieser Technologie, weist aber auch auf mögliche Risiken hin. Dazu gehören etwa der Schutz vertraulicher Eingaben und die Qualität des generierten Codes in Bezug auf Sicherheitslücken. Für jedes Risiko werden konkrete Maßnahmen zur Minderung vorgeschlagen, und es gibt Empfehlungen für Entwickelnde sowie das Management in Unternehmen.

Gerade weil der Inhalt so sachlich und nüchtern bleibt, fühle ich mich als Entwickler ernst genommen und nicht bevormundet. Es zeigt, welche Einsatzmöglichkeiten wir haben und welche Gefahren wir im Blick behalten müssen – ganz ohne reißerische Übertreibungen.

Meine Meinung: Dass Entwickler den von KI-Tools generierten Code auf Fehler und Sicherheitslücken prüfen müssen, sollte selbstverständlich sein – sie sind schließlich als Autoren für den Code, den sie abliefern, verantwortlich. Daher sollte eigentlich relevant sein, wie viele Sicherheitslücken im Code verblieben sind, der von (erfahrenen) Entwicklern in Zusammenarbeit mit KI-Tools erstellt wurde, anstatt nur den unüberprüften KI-generierte Code zu betrachten.

ps. Besonders interessant fand ich den beschriebenen Angriffsvektor der „Indirect Prompt Injections".

Hier gehts zum Paper