Anthropics Claude Code Security und OpenAIs Aardvark werden für ihre Langsamkeit und hohen Falsch-Positiv-Raten kritisiert. Experten bezweifeln, dass die Tools bestehende Sicherheitsprozesse in Unternehmen ersetzen können.
Die Ankündigung von Anthropics Claude Code Security — ein Tool, das Code analysiert, Sicherheitslücken aufdeckt und Fixes vorschlägt — hat in der Cybersicherheitsbranche erhebliche Bedenken ausgelöst. Das Unternehmen gab bekannt, dass seine neueste KI Claude Opus 4.6 über 500 Zero-Day-Schwachstellen in Open-Source-Projekten entdeckt hat.
Doch während manche Investoren beunruhigt reagierten, warnen Applikationssicherheits-Experten vor übereilten Schlussfolgerungen. Claude Code Security und OpenAIs im Oktober veröffentlichtes Aardvark-Tool seien langsam, anfällig für falsche Alarme und passen nicht ohne Weiteres in die etablierten Entwicklungsprozesse von Unternehmen. Julian Totzek-Hallhuber, Senior Principal Solution Architect bei Veracode, betont, dass automatisierte Code-Analyse eher Entwicklern bei der Fehleranalyse helfen könnte, anstatt traditionelle Sicherheitsprüfungen zu ersetzen.
Ein Praxistest verdeutlicht das Problem: Claudde Code benötigte 17 Minuten, um drei vermeintliche Schwachstellen zu identifizieren, von denen zwei falsch positiv waren. OpenGrep erledigte die gleiche Aufgabe in 30 Sekunden. Neatsun Ziv, CEO von OX Security, berichtet von ähnlichen Erfahrungen: Claude Code Security brauchte über 15 Minuten und verursachte 4 Dollar Kosten, während SAST-Tools dieselbe Schwachstelle in Sekunden für weniger als ein Cent finden.
Ein weiteres fundamentales Problem liegt in der Architektur moderner Entwicklungsprozesse. Wenn dieselbe KI sowohl Code schreibt als auch überprüft, widerspricht das bewährten Sicherheitsprinzipien — in der klassischen Praxis durfte der gleiche Entwickler niemals seinen eigenen Code reviewen. Diese Vermischung von Rollen könnte zu Sicherheitsblinden Flecken führen.
Veracodes aktuelle “2026 State of Software Security Report” zeigt ein wachsendes Problem: 82 Prozent der Unternehmen bauen Technical Debt auf, 11,3 Prozent aller Schwachstellen sind schwerwiegend — gegenüber 8,3 Prozent im Vorjahr. Diese Trends korrelieren mit der schnellen Adoption von KI-gestützten Entwicklungsplattformen.
Branchen-Analysten bei Forrester betonen, dass etablierte Sicherheitsanbieter durch ihre vertikale Expertise, umfangreiche Kundenbeziehungen und integrierte Prozesse langfristig konkurrenzfähig bleiben können. Ob diese Vorhersagen aufgehen werden, ist derzeit unklar — viele Experten betrachten die aktuellen Tools noch als Forschungspreview, nicht als reife Produkte.
Quelle: Dark Reading