Der unsichtbare Fleck beim KI-Coding: Sicherheit, Abhängigkeit und was niemand ausspricht

Du öffnest deinen Editor, tippst einen Kommentar, und Copilot vervollständigt die nächsten 20 Zeilen. Du schaust drüber, alles sieht plausibel aus — du drückst Tab. Kommt dir bekannt vor? Den meisten Entwicklern schon. Und genau darin liegt das Problem.

Was die Produktivitätszahlen verschweigen

GitHub hat 2023 kommuniziert, dass Entwickler mit Copilot bis zu 55 % schneller arbeiten. Diese Zahl kursiert überall. Was seltener zitiert wird: In einer Studie der Stanford University schrieben Entwickler, die KI-Assistenten nutzten, signifikant mehr Sicherheitslücken — und hielten ihren Code gleichzeitig für sicherer als der Kontrollgruppe.

Das ist kein kleines Detail. Das ist ein strukturelles Problem.

Die Kombination aus höherem Tempo und falscher Selbsteinschätzung ist gefährlich. Du codest schneller, du reviewst weniger sorgfältig, und du vertraust einem System, das keine Verantwortung trägt.

Sicherheit: Der Code, dem du vertraust, wurde auf unsicheren Daten trainiert

KI-Modelle wie Copilot wurden auf öffentlichem Code trainiert — darunter Millionen von Repositories mit bekannten Schwachstellen, veralteten Patterns und schlechter Fehlerbehandlung. Das Modell lernt Muster, keine Korrektheit.

Was das in der Praxis bedeutet:

# KI-generierter Code — sieht harmlos aus
import subprocess

def run_command(user_input):
    result = subprocess.run(user_input, shell=True, capture_output=True)
    return result.stdout

Diesen Code hat Copilot tatsächlich so oder ähnlich vorgeschlagen. shell=True mit unkontrolliertem User-Input ist eine klassische Command-Injection-Lücke. Der Code funktioniert. Er ist trotzdem gefährlich.

Das Problem: Wenn du nicht weißt, warum das unsicher ist, wirst du es nicht erkennen. Und je mehr du KI-Code übernimmst, desto seltener trainierst du genau dieses Wissen.

Typische Sicherheitsprobleme in KI-generiertem Code:

• SQL-Injection durch fehlende Parametrisierung
• Unsichere Deserialisierung
• Fehlende Input-Validierung
• Hartcodierte Credentials (ja, wirklich)
• Veraltete Krypto-Algorithmen (MD5, SHA1)

Halluzinationen: Wenn die KI erfindet statt erklärt

KI-Modelle halluzinieren. Das ist kein Bug, das ist Architektur. Sie generieren wahrscheinliche Fortsetzungen — nicht notwendigerweise korrekte.

// KI schlägt vor:
import { parseISO, formatDistance } from 'date-fns/esm/fp'

// Problem: Dieser Import-Pfad existiert in date-fns v3 nicht mehr
// Der Code kompiliert nicht — aber die KI klingt absolut sicher

Halluzinierte Library-Namen, nicht existierende API-Endpunkte, veraltete Syntax aus drei Major-Versions-Sprüngen zurück — all das landet im Code von Entwicklern, die es nicht prüfen. Nicht weil sie faul sind, sondern weil der Zeitdruck real ist und der Vorschlag überzeugend aussieht.

Kompetenzverlust: Was du nicht mehr übst, verlernst du

Das ist der unangenehmste Teil — weil er schleichend passiert.

Wenn Copilot dir jede Schleife, jeden API-Call und jeden Regex-Pattern vorschlägt, übst du das Formulieren von Lösungen nicht mehr. Du wählst aus Optionen, du tippst nicht mehr von Grund auf.

Das klingt effizient. Ist es kurzfristig auch. Aber Programmieren ist nicht das Tippen von Zeichen — es ist das Entwickeln eines mentalen Modells. Wie zerlegt man ein Problem? Wie debuggt man, wenn keine KI einen Hinweis gibt? Was tust du, wenn du offline bist, die API down ist, oder du an einem System arbeitest, das keine Cloud-Tools erlaubt?

Ein konkretes Beispiel: Viele Junior-Entwickler, die intensiv mit KI-Tools arbeiten, haben erhebliche Schwierigkeiten beim technischen Interview ohne Autocomplete — nicht weil sie das Konzept nicht verstehen, sondern weil sie es nie in rohem Code formulieren mussten.

Senior-Entwickler merken es anders: Sie öffnen eine Datei, die KI gibt keinen sinnvollen Kontext, und plötzlich dauert es drei Mal so lang wie früher.

Abhängigkeit: Du baust auf Sand, der einem anderen gehört

GitHub Copilot, ChatGPT, Cursor, Tabnine — das sind externe Dienste. Mit Nutzungsbedingungen, Preismodellen und Abschaltrisiken.

Was passiert, wenn:

• OpenAI die API-Preise verdreifacht?
• Ein Dienst Datenschutzanforderungen deines Unternehmens nicht mehr erfüllt?
• Die KI ein Update bekommt und plötzlich andere Vorschläge macht?
• Der Dienst einfach offline ist?

Für Solo-Projekte mag das verschmerzbar sein. In einem Unternehmen, das seinen gesamten Development-Workflow auf einem externen KI-Dienst aufgebaut hat, ist das ein ernstes Risiko — eines, das die wenigsten in ihrer Risikoanalyse führen.

Dazu kommt: Wer sendet deinen Code an welchen Server? Die meisten Copilot-ähnlichen Tools senden Code-Snippets zur Verarbeitung. Für proprietären Code, interne APIs oder sensible Businesslogik ist das ein Datenschutz- und IP-Problem.

Häufige Fehler

1. „Der Code funktioniert, also ist er gut“ Funktionierender Code und sicherer, wartbarer Code sind zwei verschiedene Dinge. KI optimiert für plausiblen Output, nicht für Produktionsqualität. Immer Code-Review mit Sicherheitsfokus machen — auch bei KI-Vorschlägen.

2. „Ich verstehe den Code schon, ich lese ja drüber“ Drüberlesen und verstehen ist nicht dasselbe. Wenn du nicht erklären kannst, warum jede Zeile so geschrieben ist, hast du sie nicht verstanden. Geh im Zweifel Zeile für Zeile durch und stelle dir die Frage: „Was passiert, wenn dieser Input unerwartet ist?“

3. „Die KI kennt das Framework besser als ich“ Möglicherweise kennt sie eine Version davon. Welche Version? Wann wurde das Modell trainiert? Ist die API noch aktuell? KI-Wissen hat ein Cutoff-Datum — und Frameworks entwickeln sich schnell.

Praxistipp — Das kannst du sofort umsetzen

Führe für einen Monat ein „KI-Review-Journal“: Notiere jede Woche drei KI-Vorschläge, die du übernommen hast, und analysiere sie nachträglich. War der Code sicher? Hättest du ihn selbst so geschrieben? Was hättest du anders gemacht? Diese einfache Reflexion zwingt dich, aktiv zu bleiben statt passiv zu konsumieren.

Fazit

KI-Tools sind keine schlechten Werkzeuge. Sie sind mächtige Werkzeuge — und mächtige Werkzeuge erfordern mehr Kompetenz, nicht weniger.

Das Problem ist nicht, dass Entwickler KI nutzen. Das Problem ist, dass viele aufgehört haben zu hinterfragen. Schneller sein ist kein Ziel, wenn die Grundlagen darunter wegbrechen.

Nutzt du KI täglich beim Coden — und hast du schon mal einen dieser blinden Flecken am eigenen Code erlebt? Schreib es in die Kommentare, ich bin gespannt auf deine Erfahrungen.