Vibe Coding ist eine neue Programmiermethode mit KI-Unterstützung, die viele Vorteile bei der schnellen Softwareentwicklung bringt. Für Nutzer von Android-Geräten und anderen Plattformen birgt der Trend jedoch auch Gefahren. Viele, mit Vibe Coding erstellte, Apps enthalten schwer erkennbare Schwachstellen wie fehlende Authentifizierung, Code-Injektionen oder unsichere Datenverarbeitung.
Bildquelle: unsplash.com
Da viele Nutzer des Trends keine professionellen Entwickler sind, fehlen Sicherheitsprüfungen und Angreifer bekommen Zutritt. Was dagegen hilft und warum funktionaler Code nicht automatisch sicher sein muss, wird nachfolgend genauer beleuchtet.
Nicht die KI ist schuld am Problem
Von KI generierte Software ist nicht automatisch ein Sicherheitsproblem, die Gefahr lauter hinter dem Computer. So wurden in der Vergangenheit bereits geklonte KI-Apps wie „ChatGPT Pro“ entwickelt, die beim Nutzer auf dem Smartphone Schadsoftware hinterließen oder Daten abgreifen konnten.
Merkmale solcher Apps sind unter anderem, dass sie nicht im Google Play-Store verfügbar sind, sondern meist nur über Websites oder Dateiweitergabe „unter der Hand“.
Das bedeutet im Umkehrschluss aber nicht, dass jede über eine Website verfügbare App gleich eine Gefahr ist. Manche Apps kommen auch deshalb nicht in den Appstore, weil bestimmte Themen nicht verfügbar sind.
Beispiel: Das JackpotPiraten Online Casino gehört in der Glücksspielbranche zu einem der seriösen Angebote und ist zu 100 Prozent legal. Dennoch ist im App-Store derzeit noch keine App verfügbar. Als Alternative ist das JackpotPiraten Online Casino über die mobil optimierte Website erreichbar.
Dubiose Angebote werden hingegen als Download bereitgestellt, immer mit der Absicht, Menschen gefährliche Schadsoftware aufs Handy zu übertragen. Nur Apps aus dem Appstore sind geprüft und sicher, bei APK-Dateien über das Internet muss man den Absender kennen, um sie sorglos herunterladen zu können.
Wer erzeugt KI-generierte Apps?
Hinter KI-generierten Apps stecken primär Einzelentwickler, die spezialisierte Tools nutzen. Die entsprechenden Plattformen ermöglichen Laien die schnelle Erstellung funktionaler Prototypen ohne tiefes Programmierwissen, was vor allem in der Low-Code-Szene gern genutzt wird.
Auch hier muss man klar sagen, dass die Funktion des Vibe-Codings nicht das eigentliche Problem ist. Richtig angewandt können Nutzer hier sinnvolle Apps für sich erstellen und sie mit Freunden und anderen Menschen teilen. Per Prompt zur App ist eine wichtige Weiterentwicklung für die Programmierer-Szene und Menschen, denen die Code-Erfahrung fehlt.
Wie Kaspersky erläutert, enthalten rund 45 Prozent der generierten Codes Schwachstellen und es hat sich hier in den letzten Jahren nur wenig verändert. Bei rund 20 Prozent der generierten Apps soll es sich sogar um schwerwiegende Schwachstellen handeln.
Wie auch bei anderen Anwendungen mit KI zeigt sich, dass die KI zwar funktioniert, die menschliche Kontrolle aber nicht fehlen darf. Und es zeigt sich auch, dass KI-Anwendungen missbräuchlich verwendet werden können und dann zu erheblichen Schäden führen.
Was sind die größten Gefahren von KI-generierten Apps?
Zu den prominentesten Risiken gehören unsichere API-Schlüssel-Hardcodings und nicht vorhandene Input-Validierungen. Dadurch werden SQL-Datenbank Injektionen oder XSS-Angriffe ermöglicht. KI-Modelle stellen die Funktion über Sicherheit, was zu veralteten Bibliotheken und Supply-Chain-Attacken führen kann.
Für den Endnutzer ist es faktisch kaum mehr erkenntlich, ob eine App von KI geschrieben wurde oder nicht. Als Hauptgefahren stehen Datenklau, Spionage, finanzielle Schäden durch In-App-Käufe oder die Kompromittierung von Accounts im Mittelpunkt.
Als Android-Nutzer schützt man sich optimal, indem man grundlegend nur aus dem Google Playstore installiert und bei APK-Dateien den Hersteller und Anbieter überwacht. Wer verbreitet die App? Wie bekannt ist die Firma? Gibt es bereits Bewertungen oder Berichte im Netz?
Wichtig: KI-Chat-Apps benötigen weder Zugang zu den Kontakten noch zum Telefon oder SMS. Bei solchen Aufforderungen ist sofort Alarmbereitschaft nötig, denn solche Apps wollen in den meisten Fällen Daten nutzen oder Nachrichten über das eigene Handy verschicken.
