70% der Entwickler sagen, KI-Code hat mehr Schwachstellen; 30% liefern ihn trotzdem aus – Checkmarx-Umfrage

Der jährliche AppSec-Bericht von Checkmarx, basierend auf einer Umfrage unter 2.350 Entwicklern, CISOs und AppSec-Managern weltweit, zeichnet ein düsteres Bild: 70 % der Befragten glauben, dass KI-generierter Code deutlich mehr Sicherheitslücken aufweist, dennoch bringen 30 % wissentlich unsicheren Code in die Produktion. Die Umfrage von 2026 folgt ähnlichen Berichten seit 2023, wobei die Stichprobe in diesem Jahr um 54 % größer ist.
Wichtigste Erkenntnisse
- Anteil KI-generierten Codes leicht gesunken – von 54 % auf 49 % des Produktionscodes, aber immer noch hoch.
- 70 % berichten deutlich mehr Schwachstellen bei KI-generiertem Code im Vergleich zu menschlich geschriebenem Code.
- 30 % bringen wissentlich unsicheren KI-Code in die Produktion, mit der Begründung von Zeitdruck beim Ausrollen, Schwierigkeiten bei der Behebung oder Vertrauen auf andere Kontrollen.
- 93 % der Organisationen erlitten eine oder mehrere Sicherheitsverletzungen durch unsichere Anwendungen (Rückgang von 98 % im Vorjahr).
- Open Source macht 59 % des Produktionscodes aus, was das Risiko durch bösartige Pakete in npm und PyPI erhöht.
- Organisationen, bei denen 81-100 % des Codes KI-generiert sind, liefern unsicheren Code mit 3,4-facher Rate aus im Vergleich zu denen mit 1-20 % Anteil.
Die Forscher von Checkmarx stellten fest, dass LLMs dazu neigen, moderne Sprach- und Compiler-Sicherheitsfunktionen zu wenig zu nutzen, da die Trainingsdaten veraltete Praktiken enthalten. Eine separate Studie der University of Central Florida und der Birzeit University ergab, dass C-Code die meisten KI-generierten Schwachstellen aufwies, Python die wenigsten.
Zitat aus dem Bericht: „Das Risiko wird normalisiert.“ Die Autoren warnen, dass die Menge an KI-Code direkt mit der Bereitstellung unsicherer Code und der Häufigkeit von Sicherheitsverletzungen korreliert.
📖 Vollständige Quelle lesen: HN AI Agents
👀 Siehe auch

Polsia-Plattform zeigt wiederkehrende SaaS-Muster bei Live-Gründer-Launches
Polsia ist eine autonome Geschäftsplattform, auf der Nutzer ihr Unternehmen beschreiben, Geld bezahlen und es autonom ausführen lässt. Ein Verhaltenswissenschaftler beobachtete 72 Stunden lang Live-Gründer-Launches und identifizierte sich wiederholende Muster wie KI-SDR-Automatisierungslösungen und unterversorgte internationale Märkte.

Claude Code Systemprompt-Montage und Struktur enthüllt
Ein Source-Map-Leck im npm-Paket von Claude Code legte den System-Prompt-Erstellungsprozess offen, der statische Präfixabschnitte gefolgt von dynamischen, sitzungsspezifischen Inhalten zeigt, mit drei Identitätsvarianten und detaillierten Ausführungsrichtlinien.

Liquid AI veröffentlicht LFM2.5-350M-Modell für agentische Schleifen
Liquid AI veröffentlichte LFM2.5-350M, ein Modell mit 350 Millionen Parametern, das für zuverlässige Datenextraktion und Werkzeugnutzung trainiert wurde. Es ist unter 500 MB groß, wenn quantisiert, und übertrifft größere Modelle wie Qwen3.5-0.8B in den meisten Benchmarks, während es schneller und speichereffizienter ist.

MiMo-V2.5-Pro im Benchmark: Starke soziale Deduktionslogik, gutes Preis-Leistungs-Verhältnis im Vergleich zu K2.6
MiMo-V2.5-Pro konkurriert mit Kimi K2.6 in autonomen Blood on the Clocktower-Spielen, mit einer unausgewogenen Siegquote von 88% für das gute Team und 48% für das böse Team, kostet 0,99 $ pro Spiel bei 183.000 Ausgabetoken und ist mit 2-3-stündigen Matches praktisch.