In einem zusammen mit der Rede veröffentlichten Blog-Beitrag erklärte das NCSC, Fortschritte bei der KI-gestützten Softwareentwicklung veränderten bereits, wie Organisationen an das Schreiben von Code herangehen. Damit könnte sich in den kommenden Jahren eine erhebliche Umwälzung des SaaS-Modells anbahnen.

Den Kurssturz vom Februar bezeichnete die Behörde als “Milliarden-Dollar-Wackler” und griff den Begriff “SaaSpocalypse” auf. Sie verwies auf Berichte über Entwickler, die mit KI-Werkzeugen innerhalb weniger Stunden Ersatz für SaaS-Produkte gebaut hätten – vor allem als Reaktion auf steigende Abonnementkosten oder eingeschränkte Funktionen.

Die SaaS-Branche hat die Unternehmens-IT bislang dominiert, indem sie abonnementbasierten Zugang zu Software bietet und Infrastruktur, Wartung und Sicherheit an die Anbieter auslagert. Dieses Gefüge könnte sich nach Einschätzung des NCSC verschieben, wenn KI-Werkzeuge es schneller und billiger machen, “hinreichend maßgeschneiderte” Software im eigenen Haus zu erstellen – getrieben von denselben geschäftlichen Anreizen, die einst den Aufstieg der SaaS-Anbieter und die frühe Verbreitung des Cloud-Computings ausgelöst haben.

Gleichzeitig warnte die Behörde, dass KI-generierter Code unzuverlässig, schwer zu warten und anfällig für Sicherheitslücken sein kann. Das erhöhe die Gefahr, dass verwundbare Systeme in Betrieb gehen, wenn die Verantwortlichen hinter den “vibe-codierten” Systemen die Risiken zu sehr in Kauf nähmen.

“Die Reize des Vibe Coding liegen auf der Hand”, sagte Horne auf der RSA Conference. “Den Status quo manuell erzeugter und durchgängig verwundbarer Software aufzubrechen, ist eine riesige Chance, aber nicht ohne eigenes Risiko. Die KI-Werkzeuge, mit denen wir Code entwickeln, müssen von Anfang an so entworfen und trainiert werden, dass sie keine unbeabsichtigten Schwachstellen einführen oder verbreiten.”

Das NCSC rief Organisationen dazu auf, die Sicherheit mit der Weiterentwicklung der Technik in den Vordergrund zu stellen. Dazu gehöre, dass KI-Systeme standardmäßig sicheren Code erzeugen, dass die Integrität der Modelle überprüft werde und dass automatisierte Code-Überprüfung und Tests stärker zum Einsatz kämen.

“Wenn sich Sicherheitsfachleute nicht von Anfang an einbringen, wird sich die Landschaft ohne diesen entscheidenden Beitrag entwickeln – wie es wohl in den frühen Jahren der Cloud-Einführung der Fall war”, heißt es in dem Blog-Beitrag. Noch wisse niemand genau, was nötig sei, um die “vibe-codierte Zukunft” sicherer zu machen; stelle man sich dieser Herausforderung von Beginn an, bestehe die Chance, einige solide Sicherheitsgrundlagen zu verankern.

Eine Disruption des SaaS-Modells dürfte sich laut NCSC über mehrere Jahre erstrecken, wobei die Übernahme je nach Komplexität der Systeme und Risikobereitschaft der Organisationen unterschiedlich ausfalle. Überleben würden in der Branche vermutlich nur jene Unternehmen, die sich nicht leicht durch eine vibe-codierte Alternative ersetzen lassen – etwa weil ihre Dienste selbst geschäftskritisch geworden seien, weil sie regulatorische Anforderungen erfüllten oder weil sie schlicht über eine kritische Masse an Daten verschiedener Kunden verfügten.