// HEISE ONLINE — HARDWARE & GADGET
KI-Update Deep-Dive: Vibecoding als Sicherheitsrisiko - feat. TTT
Schnell eine App oder Website per „Vibecoding“ erstellen? Eine Recherche der IT-Expertin Eva Wolfangel zeigt, dass dabei oft ungesicherte Datenbanken entstehen.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden.
Damit können personenbezogene Daten an Drittplattformen (Podigee GmbH) übermittelt werden.
Mehr dazu in unserer
Datenschutzerklärung.
Die Erstellung von Webseiten und Apps mittels KI, oft als „Vibecoding“ oder „Webcoding“ bezeichnet, birgt erhebliche Sicherheitsrisiken. Das ergab eine Recherche der IT-Expertin Eva Wolfangel. In dieser Ausgabe des KI-Updates übernehmen daher die Kolleginnnen des c't-Podcasts „They Talk Tech“ das Ruder. Eva Wolfangel spricht mit Svea Eckert über die weitreichenden Folgen des Vibecodings für das Internet. Gemeinsam mit dem KI-Sicherheitsforscher Christopher Helm hatte Wolfangel hunderte Webseiten mit ungesicherten Datenbanken gefunden, in denen sensible Daten wie Kundendaten, Produktionspläne oder Bewerbungsunterlagen offen im Netz lagen.
Als exemplarisches Beispiel dient der Fall einer jungen Startup-Gründerin, die Wolfangel „Larissa“ nennt, um ihre Identität zu schützen. Sie hatte sich mit einem nachhaltigen Online-Shop selbstständig gemacht. Als Wolfangel sie kontaktierte und über die Sicherheitslücke informierte, war die Gründerin schockiert. „Sie hat gesagt, Mann, ich kann kaum noch schlafen. Ich habe mich ruiniert. Ich bin so dumm“, berichtet Wolfangel im Podcast. Die Daten all ihrer Kunden waren frei zugänglich.
Die Ursache für die Sicherheitslücke liegt oft in der Funktionsweise der eingesetzten Werkzeuge. „Vibecoding“ beschreibt Wolfangel als „Programmieren auf Basis natürlicher Sprache“. Nutzerinnen uns Nutzer müssen also keine Programmiersprache mehr beherrschen, sondern können einer KI in einfachen Worten Anweisungen geben. Dafür werden Plattformen wie „Lovable“ genutzt. Diese greifen wiederum auf sogenannte „Backend-as-a-Service“-Anbieter wie „Supabase“ zurück, um die Datenbanken und die Infrastruktur hinter der Webseite zu organisieren.
Das Problem entsteht durch die Standardeinstellungen dieser Dienste. Supabase stand laut Wolfangel lange in der Kritik, weil der voreingestellte Schutzmechanismus der schwächste war: Die Datenbanken waren standardmäßig offen im Netz. „Am Ende wurde Bequemlichkeit gewählt und nicht Sicherheit“, erklärt Wolfangel. Denn wenn alle die Datenbank sehen können, funktioniert die erstellte Anwendung auf jeden Fall. Komplexere Berechtigungen, die für Laien schwer zu durchschauen sind, werden so umgangen. Das Ergebnis ist eine funktionierende, aber unsichere Webseite.
Wie intelligent ist Künstliche Intelligenz eigentlich? Welche Folgen hat generative KI für unsere Arbeit, unsere Freizeit und die Gesellschaft? Im "KI-Update" von Heise bringen wir Euch gemeinsam mit The Decoder werktäglich Updates zu den wichtigsten KI-Entwicklungen. Freitags beleuchten wir mit Experten die unterschiedlichen Aspekte der KI-Revolution.
Die Recherche von Wolfangel und Helm zeigte, dass nicht nur kleine Start-ups betroffen sind. Unter den mehr als 600 untersuchten Webseiten fanden sich auch große Namen. So waren etwa bei der VOM-Hochschule, einer der größten privaten Hochschulen Deutschlands, Daten von hunderten Studierenden offen einsehbar. Auch ein deutscher Industrieanlagenbauer legte Produktionsdatensätze offen. Ein besonders drastischer Fall war ein US-Anbieter für IT-Sicherheitsschulungen für Behörden, der die privaten E-Mail-Adressen von FBI-Mitarbeitern ungeschützt im Netz hatte.
Mit Ihrer Zustimmung wird hier ein externer Podcast (Podigee GmbH) geladen.