Blog-Startseite

Vom Prompt zur Produktion: Neue Security-Herausforderungen in der KI-Software-Lieferkette

KI-gestützte Softwareentwicklung – mit dem Vertrauen und der Kontrolle, die es auf Enterprise-Level braucht.

Von Yoav Landman, CTO & Co-founder, JFrog

7 min read

Anthropics Ankündigung der neuen Security-Scanning-Fähigkeiten von Claude Code (kurz nach der Ankündigung von OpenAIs Aardvark) ist ein Meilenstein für die Branche. Erstmals wird ein Security-Review auf Expertenniveau direkt im Coding eingebettet. Subtile, kontextabhängige Schwachstellen können jetzt schon beim Entstehen entdeckt und markiert werden. Zero-Day-Vulnerabilities lassen sich potenziell beheben, noch bevor sie jemals in einen Build einfließen.

Und das ist erst der Anfang. Wir dürfen mit ähnlichen Ankündigungen von anderen KI-Providern erwarten, egal ob kommerziell oder Open Source. Die Erkennung und Behebung von Schwachstellen auf Code-Ebene werden allgemein zugänglich. Mit der Zeit könnten sich diese Funktionen sogar zu einer Selbstverständlichkeit werden.

Doch hier stellt sich eine tiefergehende Frage: Wenn KI den Code sicherer machen kann, bevor er kompiliert wird – was gibt es dann überhaupt noch zu schützen?

Das leise Verschwinden des Codes

Im traditionellen Software-Development war der Source Code der Schwerpunkt. Der Code war das Element, das Teams reviewt, getestet, gesichert und an dem sie gemeinsam gearbeitet haben. Doch es vollzieht sich ein subtiler Wandel: Code ist nicht mehr das Endprodukt. Er ist lediglich ein Zwischenschritt.

Der eigentliche Output – das, was ausgeliefert, deployt und ausgeführt wird – ist ein Binary. Ein Container Image. Ein Package. Eine Library. Ein kompiliertes Release.

Ein großer Teil dessen, was letztlich das Verhalten, die Security Posture, Performance und Compliance eines Releases beeinflusst, wird überhaupt nicht vom Development-Team oder Ihren Programmierern geschrieben. In moderner Software stammt die Mehrheit dessen, was in ein ausgeliefertes Artefakt eingebettet ist, aus anderen Quellen:

  • Open-Source-Dependencies
  • Third-Party-Packages
  • Interne Libraries, die in der Organisation entwickelt wurden
  • Transitive Libraries, die über Package Manager aufgelöst werden
  • Build-Systeme, Compiler und Developer-Extensions
  • Und jetzt auch KI-Artefakte wie Skills, Agents, Plugins und MCP-Server

Die Applikation ist keine bloße Codebasis mehr. Sie ist eine zusammengesetzte Lieferkette.Und der Schwerpunkt hat sich verlagert – vom Source Code hin zum Artefakt, das alles um sich herum integriert.Während KI also den Quellcode „sauberer” macht, wird das Release selbst komplexer. Diese Komplexität verschiebt auch das Risiko.

Selbst wenn der Code perfekt ist, bleibt das Release bleibt verwundbar

Stellen Sie sich eine nahe Zukunft vor, in der KI-generierter Code nahezu fehlerfrei ist. Er kompiliert sauber. Er besteht die statische Analyse. Schwachstellen werden automatisch behoben, bevor Sie sie überhaupt bemerken. Aus Source-Perspektive wirkt alles gesund.

Doch sobald Ihr Code kompiliert ist, besteht das Release nicht mehr nur aus dem, was Ihr Team oder die KI geschrieben hat. Es enthält Dutzende, manchmal Hunderte Third-Party-Binaries. Eines davon kann eine neu entdeckte Schwachstelle enthalten. Eine andere könnte bösartigen Code enthalten, der gezielt darauf ausgelegt ist, die Erkennung zu umgehen.

In weiter fortgeschrittenen Szenarien können Angreifer sogar KI nutzen, um Payloads zu erstellen, die speziell darauf ausgelegt sind, KI-basierte Inspektionssysteme zu umgehen. Die gleiche Technologie, die den Verteidigern hilft, kann als Offensiv-Tool zweckentfremdet werden, um obskure Logik, kontextsensitive Trigger oder schlafende Backdoors zu generieren, die mit legitimen Codemustern verschmelzen.

Und über Nacht ist Ihre Production-Umgegbung exponiert. Am generierten Code war nichts falsch. Das Problem steckt in einer Dependency, die Sie nicht geschrieben haben.

Genau das passierte beim jüngsten React2Shell-Vorfall und davor bei Log4Shell. Die Production-Teams gerieten nicht in Panik, weil das Code Review versagt hatte. Sie gerieten in Panik, weil sie nicht wussten, welche der deployten Releases das verwundbare Binary enthielten.

Die Herausforderung war nicht die Code-Qualität. Es war die Binary Visibility. Log4Shell hat gezeigt, warum SBOMs (Software Bill of Materials) so entscheidend sind: Sie müssen wissen, welche Komponenten in jedem Release enthalten sind. Aber die reine Existenz reicht nicht aus – Sie müssen auch wissen, ob die Schwachstelle innerhalb des Binarys tatsächlich erreichbar („reachable”) ist.

Heute ist dies zudem eine rechtliche Verpflichtung. Unter Regularien wie dem Cyber Resilience Act (CRA) müssen Unternehmen ihre veröffentlichte Software tracken und bekannte Schwachstellen unverzüglich melden. Wenn Sie betroffene Releases nicht sofort identifizieren und die Ausnutzbarkeit (Exploitability) bewerten können, sind Sie angreifbar – technisch wie rechtlich.

In einer KI-gesteuerten Welt ist der Flaschenhals nicht das Schreiben von sicherem Code. Es ist das Wissen darüber, was man ausgeliefert hat.

Zwei Ebenen der Verteidigung

Anthropics Ankündigung stärkt eine kritische Ebene: Sicherheit auf Code-Ebene. Diese Ebene zielt darauf ab, Schwachstellen bereits zur Entstehungszeit zu verhindern. Sie ist proaktiv, kontextuell und zunehmend KI-unterstützt.

Eine weitere Ebene, die parallel zur Source-Code-Security besteht, ist die Governance auf Binary-Ebene. Sie dient sowohl als Single Source of Truth als auch als Gatekeeper der Software Supply Chain. Dies ist der Bereich, in dem JFrog führend ist und eine komplementäre Infrastruktur bereitstellt.

Sobald Code kompiliert, gepackt und verteilt wird, verändert er sich. Er wird zu einem Artifact, das sich durch Repositories, Pipelines, Desktops und Production-Cluster bewegt. Ab diesem Punkt ist Security kein Problem des Code-Reviewing oder Scannens mehr. Es wird zu einem Problem der Kontrollinstanz

Es geht darum, Fragen zu beantworten wie:

  • Was genau ist in meine Organisation gelangt?
  • Was ist in jedem einzelnen Release enthalten?
  • Was läuft aktuell in der Production?
  • Kann ich es skalierbar tracken, auditieren und remediieren?
  • Kann ich die Einhaltung gesetzlicher Vorschriften nachweisen?

Warum KI allein für Enterprise-Governance nicht reicht

KI ist bemerkenswert gut darin, über Text und Logik zu schlussfolgern. Bei der Governance geht es jedoch nicht um Schlussfolgerungen, sondern um Kontrolle. Das sind grundlegend unterschiedliche Aufgabenbereiche. Echte Governance erfordert ein autoritatives System of Record.

KI alleine kann nicht:

  • Als unveränderliche Single Source of Truth agieren
  • Promotion-Policies über Umgebungen hinweg durchsetzen
  • Unsichere Binaries am Eintritt in die Organisation hindern
  • Authoritative Artefakt-Metadaten pflegen
  • Promotion-Logs für Audit Trails aufzeichnen
  • Provenance-Attestierungen garantieren
  • Als regulatorisches Nachweissystem dienen

KI kann beraten, analysieren und sogar generieren, aber nur ein gesteuertes System of Record kann erzwingen, kontrollieren und nachweisen.

Die Notwendigkeit einer Single Source of Truth als Gatekeeper

Für Source Code dienen Git-Plattformen als System of Record. In einer Welt, die sich fast vollständig auf KI-generierten Code zubewegt, entwickeln sich die Grundlagen der Git-orientierten Zusammenarbeit im Stillen weiter.

Was ist das Äquivalent für Binaries? Organisationen brauchen mehr als nur skalierbaren Speicher. Sie benötigen eine aktive Single Source of Truth – einen Gatekeeper, der schützt, was in die Organisation gelangt, und direkt beeinflusst, was released wird.

Ein aktives Binary-System of Record muss als Kontrollinstanz fungieren, die folgende Aspekte regelt:

  • Jede Dependency, die in das Unternehmen gelangt.
  • Jedes Build-Artifact, das gespeichert und verteilt wird.
  • Jedes Release, das in Runtime-Umgebungen deployt wird.
  • Jede Remediation, die nach dem Bekanntwerden neuer Schwachstellen erforderlich ist.

Die Gefahr liegt nicht nur in dem, was Sie ausliefern

Bei vielen bösartigen Binaries geht es nicht nur um die Frage, ob sie am Ende in einem Release landen. Sie zielen direkt auf den Developer ab, sobald sie auf dessen Rechner installiert werden.

Beispiele dafür sind:

  • Supply-Chain-Malware wie den Shai Hulud-npm-Wurm, der sich bereits bei der Installation aktiviert.
  • Bösartige KI-Extensions oder Plugin-Ökosysteme
  • Kompromittierte OpenClaw-Skills, ie beim Pull lokale Prerequisites ausführen.

In diesen Fällen wird der Developer-Desktop zum ersten „Blast Radius”.

Ein aktives System of Record muss:

  1. Nicht vertrauenswürdige Binaries blockieren, noch bevor sie überhaupt in die Organisation heruntergeladen werden.
  2. Policies vor der Installation durchsetzen
  3. Provenance, Integrität und Signaturen validieren
  4. Security- und Enterprise-Risikokontrollen anwenden: Lizenzen, Exportbeschränkungen und interne Compliance-Regeln
  5. Gespeicherte Artefakte kontinuierlich neu bewerten, sobald neue Bedrohungsinformationen vorliegen.

Dies ist nicht nur ein sicheres Artifact Repository. Es ist eine Enterprise Governance and Risk Control Engine – ein Gatekeeper, der kontinuierlich bestimmt, was in Ihrer Organisation erlaubt ist, was existieren darf und was verteilt wird. Es wird zur Single Source of Truth.

KI verändert die Erstellung. Governance muss Schritt halten.

Das Versprechen von KI in der Entwicklung ist außergewöhnlich. Sie reduziert Reibungsverluste, beschleunigt Iterationen und demokratisiert Expertenwissen. Gleichzeitig verändert KI die Geschwindigkeit und den Umfang von Risiken.

Wenn Software in großem Stil generiert werden kann, wächst der Tsunami an Binaries, die in Ihr Unternehmen fließen, ebenso schnell. Dependencies, Tools, Plugins, KI-generierte Komponenten – sie alle multiplizieren sich. Security darf sich nicht mehr nur darauf beschränken, zu prüfen, was geschrieben wurde. Sie muss kontrollieren, was existiert.

Hier spielt die JFrog Software Supply Chain Platform eine entscheidende Rolle als Control-Layer und System of Record. Sie bietet eine Suite von Binary-zentrierten Security-Funktionen, die Governance, Policy-Enforcement und End-to-End-Visibility über die gesamte Software Supply Chain hinweg ermöglichen.

KI verbessert das, was erschaffen wird. JFrog kontrolliert das, was heruntergeladen, gebaut, gespeichert, verteilt, ausgeführt und released wird. Zusammen schaffen sie einen sicheren Lifecycle – vom Prompt bis zur Production.

Popular Tags