Venafi veröffentlicht den neuen Forschungsbericht „Organizations Struggle to Secure AI-Generated and Open Source Code“. Der Bericht untersucht die Risiken von KI-generiertem und Open-Source-Code und die Herausforderungen bei der Sicherung dieses Codes inmitten von hyperaktiven Entwicklungsumgebungen.
Eine Umfrage unter 800 Sicherheitsentscheidern in den USA, Großbritannien, Deutschland und Frankreich ergab, dass fast alle (92 %) Sicherheitsverantwortlichen Bedenken hinsichtlich der Verwendung von KI-generiertem Code in ihrem Unternehmen haben. Weitere wichtige Ergebnisse der Umfrage sind:
- Spannungen zwischen Sicherheits- und Entwicklerteams: Dreiundachtzig Prozent der Sicherheitsverantwortlichen geben an, dass ihre Entwickler derzeit KI zur Codegenerierung verwenden, wobei 57 Prozent sagen, dass dies inzwischen gängige Praxis ist. Allerdings sind 72 Prozent der Meinung, dass sie keine andere Wahl haben, als den Entwicklern die Verwendung von KI zu gestatten, um wettbewerbsfähig zu bleiben, und 63 Prozent haben in Erwägung gezogen, die Verwendung von KI bei der Codierung aufgrund der Sicherheitsrisiken zu verbieten.
- Unmöglichkeit, mit KI-Geschwindigkeit zu sichern: Sechsundsechzig Prozent der Befragten gaben an, dass es für Sicherheitsteams unmöglich ist, mit KI-gestützten Entwicklern Schritt zu halten. Infolgedessen haben die Sicherheitsverantwortlichen das Gefühl, die Kontrolle zu verlieren und das Unternehmen zu gefährden. 78 Prozent glauben, dass von KI entwickelter Code zu einer Sicherheitsabrechnung führen wird, und 59 Prozent machen sich Gedanken über die Sicherheitsauswirkungen von KI.
- Governance-Lücken: Zwei Drittel (63 %) der Sicherheitsverantwortlichen sind der Meinung, dass es unmöglich ist, den sicheren Einsatz von KI in ihrem Unternehmen zu steuern, da sie keinen Überblick darüber haben, wo KI eingesetzt wird. Trotz dieser Bedenken verfügt weniger als die Hälfte der Unternehmen (47 %) über Richtlinien, die den sicheren Einsatz von KI in Entwicklungsumgebungen gewährleisten.
„Sicherheitsteams stecken zwischen einem Felsen und einem harten Ort in einer neuen Welt, in der KI Code schreibt, fest. Die Entwickler sind bereits von der KI überfordert und wollen ihre Superkräfte nicht aufgeben. Und Angreifer dringen in unsere Reihen ein – die jüngsten Beispiele der langfristigen Einmischung in Open-Source-Projekte und der nordkoreanischen Unterwanderung der IT sind nur die Spitze des Eisbergs“, sagt Kevin Bocek, Chief Innovation Officer bei Venafi. „Jeder mit einem LLM kann Code schreiben, was eine völlig neue Front eröffnet. Es ist der Code, auf den es ankommt, ob es nun Ihre Entwickler sind, die mit KI hypercodieren, ausländische Agenten infiltrieren oder jemand im Finanzwesen, der Code von einem LLM erhält, der auf wer weiß was geschult ist. Es ist also der Code, der zählt! Wir müssen den Code authentifizieren, egal von wo er kommt.“
Das Vertrauensdilemma bei Open Source
Bei der Betrachtung spezifischer Bedenken in Bezug auf Entwickler, die KI zum Schreiben oder Generieren von Code verwenden, nannten die Sicherheitsverantwortlichen drei Hauptbedenken:
- Entwickler würden sich zu sehr auf KI verlassen, was zu niedrigeren Standards führen würde.
- KI-geschriebener Code wird nicht effektiv auf Qualität geprüft.
- KI wird veraltete Open-Source-Bibliotheken verwenden, die nicht gut gewartet wurden.
Die Studie zeigt auch, dass nicht nur die Verwendung von Open Source durch KI eine Herausforderung für Sicherheitsteams darstellen könnte:
- Open-Source-Überlastung: Im Durchschnitt schätzen Sicherheitsverantwortliche, dass 61 Prozent ihrer Anwendungen Open Source verwenden – obwohl GitHub diesen Anteil auf 97 Prozent beziffert. Diese übermäßige Abhängigkeit von Open Source könnte ein potenzielles Risiko darstellen, da 86 Prozent der Befragten der Meinung sind, dass Open-Source-Code bei den Entwicklern eher die Geschwindigkeit als die Sicherheit fördert.
- Fragwürdige Verifizierung: Neunzig Prozent der Sicherheitsverantwortlichen vertrauen dem Code in Open-Source-Bibliotheken, wobei 43 Prozent sagen, dass sie volles Vertrauen haben. 75 Prozent sagen jedoch, dass es unmöglich ist, die Sicherheit jeder Zeile von Open-Source-Code zu überprüfen. Folglich sind 92 Prozent der Sicherheitsverantwortlichen der Meinung, dass Code Signing eingesetzt werden sollte, um sicherzustellen, dass Open-Source-Code vertrauenswürdig ist.
„Der jüngste CrowdStrike-Ausfall zeigt, wie schnell der Code vom Entwickler zur weltweiten Kernschmelze führen kann“, fügt Bocek hinzu. „Code kann jetzt von überall kommen, auch von KI und ausländischen Agenten. Es wird nicht weniger, sondern mehr Codequellen geben. Die Authentifizierung von Code, Anwendungen und Workloads auf der Grundlage ihrer Identität, um sicherzustellen, dass sie sich nicht verändert haben und für die Verwendung zugelassen sind, ist unsere beste Chance heute und morgen. Wir müssen den CrowdStrike-Ausfall als perfektes Beispiel für künftige Herausforderungen nutzen, nicht als einmaligen Vorfall.“
Die Aufrechterhaltung der Code Signing Chain of Trust kann Unternehmen dabei helfen, die Ausführung von nicht autorisiertem Code zu verhindern und gleichzeitig ihre Abläufe zu skalieren, um mit der Nutzung von KI und Open-Source-Technologien durch Entwickler Schritt zu halten. Venafi`s branchenweit erste Stop Unauthorized Code Solution hilft Sicherheitsteams und Administratoren dabei, ihre Code Signing Trust Chain in allen Umgebungen aufrechtzuerhalten.
„In einer Welt, in der KI und Open Source ebenso mächtig wie unberechenbar sind, wird Code Signing zur grundlegenden Verteidigungslinie eines Unternehmens“, schließt Bocek. „Damit dieser Schutz jedoch Bestand hat, muss der Prozess der Codesignierung ebenso stark wie sicher sein. Es geht nicht nur darum, bösartigen Code zu blockieren – Unternehmen müssen sicherstellen, dass jede Codezeile aus einer vertrauenswürdigen Quelle stammt, indem sie digitale Signaturen validieren und garantieren, dass seit der Signierung keine Manipulationen vorgenommen wurden. Die gute Nachricht ist, dass Code Signing fast überall eingesetzt wird – die schlechte Nachricht ist, dass es meist von Sicherheitsteams ungeschützt bleibt, die dabei helfen könnten, es sicher zu machen.“
(pd/Venafi)