Zum Hauptinhalt springen
bb-applications - Zur Startseite
Alle Artikel
  • ki
  • vibe-coding
  • sicherheit
  • softwareentwicklung

Beispiele für Sicherheitslücken beim Vibe Coding

Vibe Coding senkt die Einstiegshürde enorm. Aber KI-generierter Code hat ein systematisches Problem: Er optimiert auf Plausibilität, nicht auf Sicherheit. Was dabei in der Praxis passiert, zeigen die folgenden dokumentierten Fälle.

Konkrete Sicherheitslücken beim Vibe Coding

1. SQL Injection

KI-generierter Code baut SQL-Queries häufig durch einfache String-Konkatenation zusammen, ohne Parametrisierung. Das Ergebnis ist seit Jahrzehnten bekannt: Ein Angreifer schickt ' OR 1=1; DROP TABLE users; -- und hat freien Zugang zur Datenbank. Die KI weiß theoretisch, wie man es richtig macht — macht es aber nicht, weil der kürzeste Code am wahrscheinlichsten wirkt.12

2. Cross-Site Scripting (XSS)

KI-generierter UI-Code überspringt regelmäßig das Output Encoding. Sobald echter Userinput durch Templates fließt, wird aus einem harmlosen Eingabefeld ein Angriffsvehikel: Session-Diebstahl, Weiterleitung auf Phishing-Seiten, beliebige JavaScript-Ausführung im Browser des Opfers.1

3. Schwache Passwort-Hashes

KI-Modelle greifen bei Authentifizierung gern auf MD5 oder SHA-1 zurück — oder speichern Passwörter unverschlüsselt. Beide Algorithmen gelten seit über 15 Jahren als kryptografisch gebrochen. Bcrypt, Argon2 oder scrypt kommen in Vibe-Coding-Projekten erschreckend selten vor.3

4. Hardcoded Credentials im Code

API-Keys, Datenbankpasswörter und Tokens direkt im Quellcode — eines der häufigsten Muster in KI-generiertem Code. Eine Analyse von über 5.600 öffentlichen Vibe-Coding-Projekten fand 400+ exponierte Secrets und 175 Fälle mit personenbezogenen Daten — darunter IBANs, medizinische Daten und Ausweisfotos.45

5. Slopsquatting

KI-Modelle halluzinieren Paketnamen — und das reproduzierbar: 43 % der erfundenen Namen tauchen bei identischen Prompts immer wieder auf.6 Angreifer beobachten dieses Muster, registrieren die Namen vorab mit Malware befüllt und warten. Wer import fastxml blindlings ausführt, installiert unter Umständen Schadcode. Skalierbar, weil Hunderte Entwickler denselben Prompt nutzen.7

6. Ungesicherter Datei-Upload

Datei-Upload-Endpunkte ohne Validierung: kein Dateitypcheck, keine Größenbeschränkung, kein Virenscanner. Eine einzelne Upload-Route reicht als Einfallstür für ausführbare Malware — besonders wenn Uploads vom selben Domain serviert werden.3

7. Der Fall „Tea"

Eine Flutter-App namens „Tea", entwickelt mit sechs Monaten Erfahrung, KI-gestützt und ohne Security-Review deployed:8

  • Erster Breach: 72.000 Nutzerbilder und 13.000 Ausweisfotos exponiert
  • Zweiter Breach kurz danach: über 1,1 Millionen Privatnachrichten offen im Netz

Ursache: Firebase in der Default-Konfiguration, keine Zugriffskontrolle, keine Verschlüsselung. Genau der Output, den eine KI ohne explizite Sicherheitsanforderungen liefert.

Fazit: KI-Code ist nicht unsicher, weil die KI bösartig ist — sondern weil sie optimistisch ist. Sie generiert das Wahrscheinlichste, nicht das Sicherste. Wer das nicht einkalkuliert, merkt den Fehler erst, wenn der Schaden da ist.

Footnotes

  1. https://www.legitsecurity.com/aspm-knowledge-base/vibe-coding-security 2
  2. https://auth0.com/blog/owasp-llm05-improper-output-handling/
  3. https://blog.vidocsecurity.com/blog/vibe-coding-security-vulnerabilities 2
  4. https://escape.tech/blog/methodology-how-we-discovered-vulnerabilities-apps-built-with-vibe-coding/
  5. https://qwiet.ai/appsec-resources/risks-in-ai-generated-code-a-security-and-reliability-perspective/
  6. https://abcbyd.substack.com/p/vibe-coding-our-way-to-a-breach
  7. https://dzone.com/articles/slopsquatting-and-vibe-code-ai-risks
  8. https://netlas.io/blog/vibe-coding-security-risks/