KI-Code ist Mainstream – doch die Security-Governance hinkt gefährlich hinterher

Unter den Befragten von Salt nannten 29 % unsichere Codierungsmuster als größtes Risiko, während 15 % sagten, die Hauptsorge sei die mangelnde Übereinstimmung mit internen Sicherheitsrichtlinien . Beide Befürchtungen haben dieselbe Wurzel: KI-Programmierassistenten werden mit öffentlichem Code trainiert, nicht mit den individuellen Sicherheitsrichtlinien, Branchen-Frameworks oder Compliance-Anforderungen eines einzelnen Unternehmens .

Security Drift: Wenn niemand merkt, was gerade ausgeliefert wird

Der Bericht führt "Security Drift" als den Mechanismus ein, der das Akzeptanz-Paradoxon in ein echtes Risiko verwandelt. Die Idee ist einfach: Ein Unternehmen schreibt seine Sicherheitsregeln in Wikis, PDFs und Erfahrungswissen nieder, das der KI-Assistent nie gelesen hat. Der Assistent generiert Code, der syntaktisch korrekt und funktional nützlich ist, aber stillschweigend gegen diese internen Richtlinien verstößt. Niemand bemerkt es, weil die Überprüfungsprozesse nicht hinterherkommen .

Damit kommt Salt zu einem der handlungsrelevantesten – und alarmierendsten – Ergebnisse in puncto Governance. 38 % der Unternehmen verlassen sich bei der Prüfung des Outputs ihrer KI-Assistenten in erster Linie auf manuelle Code-Reviews. Das Volumen des KI-generierten Codes hat das, was menschliche Prüfer sinnvoll inspizieren können, bereits überholt, und Salts Prognose für 2027 legt nahe, dass diese Lücke nur noch größer wird . Nur eine kleine Minderheit der Unternehmen hat automatisierte Sicherheitsleitplanken in ihre KI-Codierungsworkflows integriert .

Roey Eliyahu, CEO von Salt Security, brachte die Situation auf den Punkt: Die Governance habe nicht Schritt gehalten mit der Art und Weise, wie KI-Coding-Assistenten die Softwareentwicklung verändert haben . Herkömmliche Tools zur statischen und dynamischen Analyse (SAST/DAST) finden Probleme zu spät in der Pipeline, wenn jede Lösung eine Neufassung und jede Neufassung eine Verzögerung bedeutet .

Die METR-Wahrnehmungslücke: Das Gefühl, schneller zu sein, während man langsamer wird

Die Security Governance ist nicht der einzige Bereich, in dem Wahrnehmung und Realität auseinandergeklafft sind. Der Salt-Bericht hebt ein Ergebnis einer externen Studie hervor, die zu einem Referenzpunkt in der Debatte um Entwicklertools geworden ist: die randomisierte kontrollierte Studie von METR, die im Juli 2025 veröffentlicht wurde .

Die Studie setzte 16 erfahrene Open-Source-Entwickler vor 246 reale Aufgaben in ihren eigenen, ausgereiften Repositories – Codebasen mit durchschnittlich über einer Million Codezeilen und Zehntausenden von GitHub-Sternen. Die Teilnehmer wurden nach dem Zufallsprinzip entweder der Nutzung von KI-Tools (hauptsächlich Cursor Pro mit Claude 3.5/3.7 Sonnet) oder der Arbeit ohne diese Tools zugewiesen .

Das Kernergebnis ist so oft zitiert worden, dass es fast schon zum Hintergrundrauschen zu werden droht, aber die Zahlen bleiben frappierend. Entwickler, die KI nutzten, erledigten Aufgaben 19 % langsamer als diejenigen, die ohne jegliche KI-Unterstützung arbeiteten. Vor der Studie sagten dieselben Entwickler voraus, dass KI sie 24 % schneller machen würde. Nach Abschluss ihrer Aufgaben schätzten sie, die Tools hätten sie etwa 20 % schneller gemacht – obwohl objektive Messungen ergaben, dass sie langsamer waren. Die Kluft zwischen gefühlter und tatsächlicher Produktivität betrug mehr als 39 Prozentpunkte .

Das METR-Ergebnis bedeutet nicht, dass KI-Tools nutzlos sind – der Kontext spielt eine große Rolle. Zuwächse wurden beim Onboarding, der routinemäßigen Generierung von Boilerplate-Code und bei Aufgaben beobachtet, bei denen Entwickler mit der Codebasis weniger vertraut sind. Aber für erfahrene Ingenieure, die an komplexen, codeabhängigen Aufgaben arbeiten, deuten die Belege darauf hin, dass die Tools Reibungsverluste verursachen können, die den Entwicklern nicht bewusst sind .

Salt Code: Durchsetzung von Regeln direkt im Prompt, nicht erst in der Pipeline

Salt hat die Veröffentlichung seiner Studie mit einem Produkt-Launch kombiniert, der genau die im Bericht identifizierte Governance-Lücke schließen soll. Am 1. Juni 2026 stellte das Unternehmen Salt Code vor, eine neue Komponente seiner breiteren Agentic Security Platform .

Der Ansatz von Salt Code besteht darin, Security Drift zu stoppen, bevor er überhaupt entsteht. Anstatt KI-generierten Code im Nachhinein zu scannen, werden die internen Sicherheits- und Compliance-Regeln eines Unternehmens direkt im KI-Coding-Assistenten durchgesetzt – und zwar im Moment der Code-Generierung. Das Produkt funktioniert mit den wichtigsten Tools, auf die Unternehmen derzeit setzen: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex und Gemini CLI .

Ziel ist es, regelkonformen Code zur Standardausgabe zu machen, nicht zu etwas, das nachträgliches Scannen und Umschreiben erfordert. Für Sicherheitsteams bietet es eine einheitliche Richtlinienebene für die Codeerstellung, Pipeline-Prüfungen und Laufzeitüberwachung – eine Verschiebung vom Aufspüren von Fehlern hin zur Verhinderung .

Ob Salt Code oder ähnliche Tools die Governance-Lücke so schnell schließen können, wie es die KI-Adoption erfordert, bleibt eine offene Frage. Aber die Richtung ist klar. Wenn die Prognose zutrifft – dass KI innerhalb von eineinhalb Jahren mehr als die Hälfte des gesamten Unternehmenscodes schreiben wird – dann muss die Sicherheitsrichtlinie von einer nachgelagerten Überprüfung zu einer Voreinstellung werden. Die Alternative, so warnt der Salt-Bericht, ist Security Drift im industriellen Maßstab.