Sicherheit bei der Arbeit mit AI
Teil der Serie I vs AI: Mein Weg ins Vibe Coding
Bruce Schneier
“Security is a process, not a product” — Sicherheit ist ein Prozess, kein Produkt.
Das Risiko liegt nicht darin, dass jemand deinen Code sieht oder deine Idee klaut. Jedes Produkt am Markt kann kopiert werden, aber man kann nicht hineinschauen. Mit AI — schon. Das echte Risiko ist der Verlust von Zugangsdaten. Eine einzige .env mit Tokens — und ein Angreifer hat die Schlüssel zur Datenbank, zum Server, zum Zahlungssystem. Code kann man neu schreiben. Zugangsdaten — nicht.
Prompt Injection
AI-Agenten führen Befehle auf deinem Rechner aus. Angreifer verstecken bösartige Anweisungen in READMEs, Code-Kommentaren, GitHub Issues. AI liest — AI führt aus. Das ist keine Theorie — das passiert gerade jetzt.
Was zu tun ist:
- Secrets (
.env, Schlüssel, Credentials) — in.gitignoreund.claudeignore. Immer - Kundendaten — niemals. Verwende Mock-Daten
- Firmencode — kläre die Unternehmensrichtlinien
- Unbekannte Repositories — prüfe was AI macht, gib keinen blinden Zugriff
Regel
Behandle AI wie einen öffentlichen Stack Overflow: Schreib dort nichts rein, was du nicht dem ganzen Internet zeigen würdest.