Broken by Default: A Formal Verification Study of Security Vulnerabilities in AI-Generated Code

Die Studie „Broken by Default" widerlegt durch formale Verifikation mit dem Z3-Solver, dass alle getesteten KI-Code-Assistenten in sicherheitskritischen Anwendungen systematisch anfällig für Ausnutzungen sind, wobei 55,8 % der generierten Artefakte mathematisch beweisbare Schwachstellen aufweisen, die von herkömmlichen Sicherheitstools übersehen werden.

Das Wesentliche

🍳 Das Grundproblem: Der KI-Koch, der vergisst, das Gas auszumachen

Stellen Sie sich vor, Sie haben einen genialen KI-Koch (die Sprachmodelle wie GPT-4 oder Gemini), der Ihnen Rezepte (Code) für ein Restaurant schreibt. Dieser Koch ist extrem schnell und kann tausende Gerichte pro Minute kochen.

Das Problem ist: Der Koch ist standardmäßig unvorsichtig.

Die Studie hat 3.500 dieser „Rezepte" von sieben verschiedenen KI-Köchen getestet. Das Ergebnis ist erschreckend: Fast die Hälfte (55,8 %) aller Rezepte enthalten einen tödlichen Fehler, der dazu führen könnte, dass das Restaurant abbrennt (Hackers, Datenlecks, Abstürze).

Selbst der „beste" Koch (Gemini 2.5 Flash) liefert in fast jedem zweiten Rezept einen Fehler. Kein einziger Koch schafft es, ein sauberes, sicheres Menü zu liefern.

🔍 Wie haben sie das herausgefunden? (Der mathematische Beweis)

Bisher haben Forscher oft nur mit einem „Muster-Scanner" gearbeitet. Das ist wie ein Sicherheitsbeamter, der nur nach bekannten Dieben sucht. Wenn der Dieb eine neue Jacke trägt, sieht der Beamte ihn nicht.

Diese Forscher haben etwas viel Mächtigeres benutzt: Den Z3-Solver.
Stellen Sie sich das wie einen perfekten Mathematiker vor, der jedes Rezept nicht nur liest, sondern es durchrechnet.

• Er fragt: „Kann ich eine Zahl finden, bei der dieses Rezept explodiert?"
• Wenn die Antwort „Ja" ist, hat er einen Beweis. Es ist keine Vermutung mehr; es ist mathematisch bewiesen, dass das Rezept kaputt ist.

Mit diesem „Mathematiker" haben sie bewiesen, dass 1.055 der gefundenen Fehler wirklich ausnutzbar sind.

🛠️ Warum helfen die alten Werkzeuge nicht?

Die Forscher haben auch sechs der besten Sicherheits-Tools der Industrie getestet (wie Semgrep, CodeQL, Clang). Das ist, als würde man sechs verschiedene Detektive holen, um die Küche zu überprüfen.

Das Ergebnis? Die Detektive haben fast nichts gesehen.

• Sie haben nur 7,6 % der Fehler gefunden.
• Von den 1.055 mathematisch bewiesenen Katastrophen haben sie 97,8 % komplett übersehen.

Warum?
Die meisten Fehler passieren bei der Berechnung von Mengen (z. B. „Wie viel Platz brauche ich für 1 Million Eier?"). Die KI rechnet falsch und vergisst, dass der Platz begrenzt ist.

• Die alten Tools schauen nur auf die Wörter im Rezept (z. B. „Achtung, hier steht 'Eier'").
• Der neue „Mathematiker" (Z3) rechnet die Werte durch. Er sieht, dass die KI vergisst, dass 1 Million Eier nicht in einen kleinen Topf passen. Das ist ein Problem, das die alten Tools strukturell gar nicht erkennen können.

🧠 Der seltsame Widerspruch: „Ich weiß, dass es falsch ist!"

Das Verrückteste an der Studie ist ein weiterer Test:
Die Forscher haben den KI-Köchen ihre eigenen fehlerhaften Rezepte gegeben und gefragt: „Ist hier ein Fehler?"

• In der Rolle des Prüfers: Die KI hat in 78,7 % der Fälle sofort gesagt: „Oh ja, hier ist ein Fehler!"
• In der Rolle des Kochs: Wenn sie das Rezept neu schreiben sollten, machten sie den gleichen Fehler wieder.

Die Metapher:
Stellen Sie sich einen Autofahrer vor, der beim Fahren ständig auf die Bremse tritt, obwohl er weiß, dass er bremsen muss. Wenn man ihn aber fragt: „Warum hast du gebremst?", sagt er: „Weil da eine rote Ampel war."
Die KI weiß, wie man sicher schreibt, aber wenn sie selbst schreibt, „vergisst" sie es einfach. Es ist ein Riss zwischen Wissen und Handeln.

📝 Was passiert, wenn man dem Koch sagt: „Sei bitte vorsichtig!"?

Die Forscher haben den KI-Köchen extra gesagt: „Achte auf Sicherheit! Rechne genau!"
Das Ergebnis? Fast keine Veränderung.
Die Fehlerquote sank nur minimal (von 64,8 % auf 60,8 %).

Wichtig zu wissen: Dieser Test mit den Sicherheitshinweisen (dem „Secure Prompt") wurde zunächst an einer kleineren Auswahl von nur 50 Rezepten (dem v1-Sub-Korpus) durchgeführt. Auf dieser kleineren Gruppe sank die Fehlerquote um etwa 4 Punkte. Als man dies auf den gesamten Testlauf übertrug, blieb der Effekt minimal. Es war, als würde man einem müden Koch sagen „Achte auf die Hitze", während er eigentlich gar nicht gelernt hat, wie man den Herd richtig bedient. Die Fehler sind tief in seinem „Gedächtnis" verankert, weil er beim Lernen (Training) gesehen hat, wie andere Menschen diese Fehler gemacht haben.

🚨 Was bedeutet das für uns?

1. Vertraue dem KI-Code nicht blind: Wenn eine KI Code schreibt, ist es wie ein ungetestetes Flugzeug. Es könnte fliegen, aber es könnte auch abstürzen.
2. Die alten Sicherheits-Checks reichen nicht: Die Tools, die wir heute nutzen, sehen die gefährlichsten Fehler der KI nicht. Wir brauchen neue Methoden (wie den „Mathematiker" Z3) oder sehr sorgfältige menschliche Prüfer.
3. Es ist ein Systemfehler, kein Einzelfall: Es liegt nicht daran, dass die KI „dumm" ist. Es liegt daran, dass sie so trainiert wurde, dass sie Muster aus dem Internet kopiert – und im Internet ist sicherer Code leider oft Mangelware.

Fazit:
Aktuelle KI-Codier-Assistenten sind standardmäßig unsicher. Sie produzieren Code, der so lange funktioniert, bis er explodiert. Bis wir bessere Werkzeuge haben, müssen wir jeden KI-Code so behandeln, als wäre er von einem Anfänger geschrieben worden, der gerade erst angefangen hat zu programmieren.

Technische Zusammenfassung

1. Problemstellung

Die Studie adressiert die kritische Lücke im Verständnis der Sicherheit von Code, der von großen Sprachmodellen (LLMs) generiert wird. Obwohl KI-Coding-Assistenten (wie GitHub Copilot, ChatGPT, Claude) zunehmend in sicherheitskritischen Domänen (Web-Backends, Embedded Systems, Kryptographie) eingesetzt werden, bleibt die Ausnutzbarkeit (Exploitability) ihrer Ausgaben unquantifiziert.

Bisherige Forschungsergebnisse stützten sich oft auf statische Mustererkennung (Pattern Matching) oder manuelle Inspektion. Diese Methoden können jedoch nicht definitiv beweisen, ob ein gefundener Fehler tatsächlich ausnutzbar ist. Die Autoren argumentieren, dass ohne formale Verifikation die tatsächliche Sicherheitslage von KI-generiertem Code unbekannt bleibt und dass bestehende Tools strukturelle Blindstellen aufweisen.

2. Methodik

Die Studie „Broken by Default" verwendet einen rigorosen, formalen Ansatz zur Verifikation von Sicherheitslücken.

• Datensatz: Es wurden 3.500 Code-Artefakte generiert, basierend auf 500 Prompt-Templates (100 pro Kategorie), die von 7 führenden LLMs (Stand Q1/Q2 2026, inkl. GPT-4o, Gemini 2.5 Flash, Llama 3.3/4, Claude Haiku 4.5, Mistral Large) bei Temperatur 0 (deterministisch) abgefragt wurden.
• Kategorien: Die Prompts deckten fünf kritische CWE-Kategorien ab:
  • Speicherzuweisung (MEM, CWE-131/190)
  • Ganzzahl-Arithmetik (INT, CWE-190/195)
  • Authentifizierung (AUTH, CWE-916)
  • Kryptographie (CRYPTO, CWE-327/330)
  • Eingabebehandlung (INP, CWE-89/22/78)
• Analyse-Pipeline (COBALT):
  1. Mustererkennung: Identifikation potenzieller Schwachstellen via AST und Regex.
  2. Formale Verifikation (Z3 SMT): Die kritischen Bedingungen (z. B. Integer-Overflows bei malloc) wurden als Satisfiability Modulo Theories (SMT) Formeln in den Z3-Solver kodiert.
  3. Zeugen-Extraktion: Wenn Z3 „SAT" (erfüllbar) zurückgibt, wird ein konkreter Eingabewert (Witness) extrahiert, der den Fehler mathematisch beweist.
• Laufzeit-Validierung: Ausgewählte Beweise wurden in Proof-of-Concept (PoC) Skripte übersetzt und mit GCC AddressSanitizer (ASAN) kompiliert, um echte Laufzeitfehler (z. B. Heap-Overflows) zu bestätigen.
• Vergleichsexperimente:
  • Vergleich mit sechs industriellen Static-Analysis-Tools (Semgrep, Bandit, Cppcheck, Clang SA, FlawFinder, CodeQL).
  • „Secure Prompt" Ablationsstudie: Untersuchung des Einflusses von Sicherheits-Instructions. Wichtig: Diese spezifische Ablationsstudie wurde ausschließlich auf einem 50-Prompt-Subkorpus (v1) durchgeführt, nicht auf dem vollständigen 500-Prompt-Benchmark, was für die Reproduzierbarkeit der Ergebnisse entscheidend ist.
  • Selbst-Review-Experiment (Kann das Modell seine eigenen Fehler erkennen?).

3. Wichtige Beiträge

• Erster formaler Nachweis: Die Studie liefert den ersten mathematischen Beweis (via Z3 SMT) für die Ausnutzbarkeit von Sicherheitslücken in KI-generiertem Code im großen Maßstab.
• Benchmark-Leaderboard: Eine vergleichende Bewertung von sieben Frontier-Modellen unter identischen Bedingungen.
• Nachweis der Tool-Lücke: Quantifizierung der Diskrepanz zwischen formal verifizierten Lücken und der Erkennungsrate bestehender Industriewerkzeuge.
• Generation-Review-Asymmetrie: Der Nachweis, dass Modelle in der Lage sind, Sicherheitslücken zu erkennen, wenn sie zur Überprüfung aufgefordert werden, diese aber beim Generieren ignorieren.

4. Ergebnisse

A. Verwundbarkeitsraten (RQ1 & RQ2)

• Gesamtrate: Im Durchschnitt enthalten 55,8 % aller generierten Artefakte mindestens eine durch COBALT identifizierte Schwachstelle.
• Modellvergleich:
  • GPT-4o: 62,4 % (Note F).
  • Gemini 2.5 Flash: 48,4 % (Note D) – das „beste" Modell.
  • Kein Modell erreicht eine Note besser als D (C wäre <45 %).
• Schwerwiegendste Kategorien:
  • Ganzzahl-Arithmetik (INT): 87 % Fehlerquote (hauptsächlich Überläufe bei Speicherberechnungen).
  • Speicherzuweisung (MEM): 67 %.
  • Authentifizierung: 44 %.
• Schweregrad: Ein Durchschnitt von 157 CRITICAL-Funden pro Modell.

B. Laufzeit-Validierung (RQ3)

• Von 7 ausgewählten, formal bewiesenen Lücken führten 6 zu bestätigten Laufzeitfehlern (z. B. Heap-Buffer-Overflow, SQL-Injection, Zip-Slip).
• Ein Beispiel: Ein 6-stelliges Passwort konnte in 0,01 ms geknackt werden, was die theoretische Schwachstelle (CWE-916) als reale Bedrohung bestätigte.

C. Einfluss von Sicherheits-Instructions (RQ4)

• Die explizite Aufforderung, „sicheren Code" zu schreiben, reduzierte die Fehlerquote im Durchschnitt nur um 4 Prozentpunkte (von 64,8 % auf 60,8 %).
• Hinweis zur Methodik: Diese Reduktion wurde im Rahmen der Ablationsstudie auf dem 50-Prompt-Subkorpus (v1) ermittelt, nicht auf dem gesamten 500-Prompt-Datensatz.
• Vier von fünf Modellen blieben bei einer Note F.
• Bei Speicherzuweisungsproblemen (Memory Allocation) zeigte sich keine messbare Verbesserung, was darauf hindeutet, dass die fehlerhaften Muster tief im Trainingsprior verankert sind.

D. Vergleich mit Industriewerkzeugen (RQ5)

• Ergebnis: Sechs etablierte Tools (inkl. CodeQL, Cppcheck) erkannten zusammen nur 7,6 % der Artefakte.
• Die Lücke: Von den 90 formal durch Z3 bewiesenen Lücken (Z3 SAT) wurden 88 (97,8 %) von keinem einzigen Tool erkannt.
• Ursache: Tools wie CodeQL basieren auf Datenfluss-Analyse und Taint-Tracking. Sie können keine arithmetischen Beweise führen, dass malloc(n * sizeof(T)) überläuft, es sei denn, n ist explizit getaint oder bekannt. Z3 hingegen löst die Bitvektor-Arithmetik über den gesamten Eingabebereich und beweist die Existenz eines Overflows mathematisch.

E. Generation-Review-Asymmetrie (RQ6)

• In einem Selbst-Review-Experiment identifizierten die Modelle 78,7 % ihrer eigenen, formal bewiesenen Lücken korrekt, wenn sie gebeten wurden, den Code zu prüfen.
• Dies beweist, dass das Wissen über die Fehler vorhanden ist, aber beim Generieren nicht angewendet wird (False-Negative-Rate von 21,3 %).

5. Bedeutung und Schlussfolgerungen

Die Studie kommt zu dem Schluss, dass KI-Coding-Assistenten „Broken by Default" (standardmäßig defekt) sind, wenn es um Sicherheit geht.

• Strukturelles Versagen: Die hohen Raten bei Integer-Overflows und Speicherfehlern deuten darauf hin, dass Modelle die unsicheren Muster aus ihren Trainingsdaten (dem öffentlichen Internet) internalisiert haben und diese als „korrekt" reproduzieren.
• Unzulänglichkeit bestehender Abhilfen:
  • Sicherheits-Instructions im Prompt sind keine wirksame Absicherung (basierend auf der Subkorpus-Analyse).
  • Herkömmliche Static-Analysis-Tools sind für KI-generierten Code unzureichend, da sie die spezifische Art der arithmetischen Fehler nicht erkennen können.
• Notwendigkeit formaler Verifikation: Die Studie plädiert dafür, dass formale Verifikation (SMT-Solving) kein Nischenwerkzeug mehr ist, sondern eine zwingende Komponente für jede Review-Pipeline in sicherheitskritischen Umgebungen sein muss, um die „Ground Truth" der Ausnutzbarkeit zu etablieren.
• Empfehlung für Entwickler:
  1. KI-generierten C/C++-Code als ungeprüft behandeln.
  2. Compiler-Flags wie -fsanitize=address,undefined zwingend einsetzen.
  3. Sich nicht auf Prompt-Engineering oder Standard-Scanner verlassen.
  4. Formale Verifikation oder manuelle Prüfung für Speicherallokationen durchführen.

Die Studie liefert damit einen alarmierenden, aber methodisch fundierten Beweis dafür, dass der aktuelle Stand der KI-Entwicklung in sicherheitskritischen Bereichen ohne zusätzliche, formale Sicherheitsmaßnahmen ein erhebliches Risiko darstellt.