Sicherheits-Audits mit KI: Code auf Lücken prüfen
KI-Agenten finden viele Sicherheitslücken automatisch – aber kritische Funde brauchen immer einen Menschen, der sie bestätigt.
Was ein Sicherheits-Audit mit KI macht
Ein KI-Agent liest deinen Code oder einen Diff und sucht nach bekannten Mustern für Sicherheitslücken: SQL-Injection, unsichere Deserialisierung, hartcodierte Passwörter, fehlende Rechteprüfungen. Das geht viel schneller als jede Zeile von Hand zu lesen.
Typische Funde
Häufig gefunden werden: Injection-Lücken (SQL, Command, XSS), fehlende Autorisierungsprüfungen, offengelegte Geheimnisse wie API-Keys, schwache Verschlüsselung und unsichere Funktionsaufrufe wie eval(). Diese Muster kommen in echtem Code immer wieder vor, oft aus Zeitdruck oder Unwissen entstanden.
Wo die Grenzen liegen
Ein Agent kann Muster erkennen, aber er versteht nicht automatisch dein Bedrohungsmodell: Wer ist der Angreifer, was ist das wertvollste Ziel, welche Kompromisse sind akzeptabel? Ein Fund kann in einem Kontext harmlos, in einem anderen kritisch sein – das weiß nur, wer das System kennt.
Mensch prüft Kritisches
Automatische Reviews sind eine Vorstufe, kein Ersatz für menschliche Prüfung. Besonders bei Findings zu Authentifizierung, Zahlungsdaten oder Zugriffsrechten gilt: erst ein Mensch bestätigen lassen, bevor du den Fund als erledigt abhakst oder ignorierst. Und: Ein Sicherheits-Tool, das selbst mit einer KI arbeitet, kann durch bösartigen Text im Code getäuscht werden – Reviews von unbekanntem, nicht vertrauenswürdigem Code brauchen zusätzliche Vorsicht.
BEISPIEL
Beispiel-Prompt: „Nutze einen Subagenten und prüfe den Diff der Login-Route auf Sicherheitslücken: Injection, fehlende Autorisierung, offengelegte Secrets. Ordne jeden Fund nach OWASP-Kategorie ein und markiere, was ein Mensch vor dem Merge bestätigen muss."
🛠️ ÜBUNG — MACH DAS BEI DIR
Lass einen Agenten einen kleinen, absichtlich unsicheren Code-Ausschnitt (z. B. eine Login-Funktion mit string-verketteter SQL-Query) auf Sicherheitslücken prüfen.
- Schreib oder nimm eine Funktion mit einer bekannten Schwachstelle, z. B. `query = "SELECT * FROM users WHERE name='" + input + "'"`.
- Lass den Agenten die Funktion prüfen und die Funde nach OWASP-Kategorie einordnen (Injection, Auth, etc.).
- Frag gezielt: „Welche dieser Funde müsste ich vor einem echten Merge von einem Menschen bestätigen lassen, und warum?"
✅ SELBST-CHECK
- ☐ Hat der Agent die SQL-Injection korrekt erkannt und benannt?
- ☐ Hat er die Schwere/Kritikalität realistisch eingeschätzt oder nur pauschal 'gefährlich' gesagt?
- ☐ Konntest du erklären, warum ein Fund wie dieser menschliche Bestätigung braucht, bevor du ihn als erledigt abhakst?
KURZ-QUIZ
Warum ersetzt ein KI-Sicherheits-Review keine menschliche Prüfung bei kritischen Funden?
QUELLEN
- Claude Code Doku: Security Guidance Plugin ↗ code.claude.com
- GitHub: anthropics/claude-code-security-review ↗ github.com
- OWASP Top 10 ↗ owasp.org
- Claude Code: Code review ↗ code.claude.com