Podcast
Podcaster
Beschreibung
vor 8 Monaten
Wer schreibt hier eigentlich noch den Code, und wer prüft ihn
eigentlich nach? In dieser Folge übernimmt Klaus Rodewig,
langjähriger Security-Experte und Pentester, den Gastplatz neben
Mark. Ausgangspunkt ist ein herrlich nachvollziehbares
Techniker-Malheur: Ein Ausfall der AWS-Zone us-east-1 legt
Perplexity lahm, während im Hintergrund die Sorge umgeht, ein
liegengelassener n8n-Workflow mit API-Token könnte gerade munter
die Kreditkarte belasten. Von da geht es zur eigentlichen Frage der
Folge: Wie verändert AI-Aided Development die Softwareentwicklung
wirklich, jenseits von LinkedIn-Benchmark-Wettrüsten? Rodewig
beschreibt seinen Weg "vom Saulus zum Paulus": vom skeptischen
Pentester, der jahrelang Codeaudits bei Konzernen gemacht hat, zum
überzeugten Nutzer, der ein komplettes Softwareprojekt (Embedded-C
auf einem Raspberry-Pi-Teil plus Flutter-Desktop-App) fast
vollständig mit KI umgesetzt hat, kleinteilig gepromptet und Modell
für Modell durchprobiert (u. a. ChatGPT, Claude, Google Gemini,
GitHub Copilot). Spannend wird es, wenn er zeigt, wo alle Modelle
gleich scheitern: Ein simples systemd-journalctl-Filterproblem
lösen weder Claude noch Gemini zuverlässig, egal wie oft man
nachfragt: ein Hinweis darauf, dass ein Modellwechsel kein
Allheilmittel ist, wenn das eigentliche Problem woanders liegt.
Nebenbei liefert er eine herrlich kuriose Anekdote: Ein Modell
änderte wochenlang eigenmächtig eine Variable namens
"Fahrzeugkontrolle" in "Fahrzeugkontrolk", ganz ohne Erklärung,
auch auf Nachfrage nicht. Den größten roten Faden bildet
Spec-Driven Development: Statt vage zu prompten, zerlegt man
Anforderungen in kleine, in Gherkin formulierte Spezifikationen
(Stichwort Behavior-Driven Development), lässt dazu erst Tests
schreiben und erst danach Code generieren, ein Ansatz, den auch
GitHub SpecKit verfolgt. Rodewig zieht die Linie konsequent weiter
zu Security: KI kann Binaries ganz ohne Symbole disassemblieren und
in lesbaren C-Code zurückübersetzen: praktisch für Audits, aber
auch ein Albtraum für Patch-Zyklen, weil Angreifer aus einem
veröffentlichten Sicherheitsupdate per Diffing und LLM-Analyse in
Minuten einen Exploit bauen können, wo früher Tage an
Reverse-Engineering-Expertise nötig waren. Zum Schluss geht es um
MISRA C, den Coding-Standard für sicherheitskritische
Automotive-Software, und den Cyber Resilience Act, der ab 2027
verbindliche Sicherheitsanforderungen für vernetzte Produkte
bringt: beides Bereiche, in denen sich hundertseitige Regelwerke
heute schon in maschinenlesbare Guidelines übersetzen und direkt
beim Prompting durchsetzen lassen. Rodewigs Fazit ist unaufgeregt
und pointiert zugleich: Arbeitslos wird man nicht durch KI, sondern
dann, wenn man sie ignoriert.
eigentlich nach? In dieser Folge übernimmt Klaus Rodewig,
langjähriger Security-Experte und Pentester, den Gastplatz neben
Mark. Ausgangspunkt ist ein herrlich nachvollziehbares
Techniker-Malheur: Ein Ausfall der AWS-Zone us-east-1 legt
Perplexity lahm, während im Hintergrund die Sorge umgeht, ein
liegengelassener n8n-Workflow mit API-Token könnte gerade munter
die Kreditkarte belasten. Von da geht es zur eigentlichen Frage der
Folge: Wie verändert AI-Aided Development die Softwareentwicklung
wirklich, jenseits von LinkedIn-Benchmark-Wettrüsten? Rodewig
beschreibt seinen Weg "vom Saulus zum Paulus": vom skeptischen
Pentester, der jahrelang Codeaudits bei Konzernen gemacht hat, zum
überzeugten Nutzer, der ein komplettes Softwareprojekt (Embedded-C
auf einem Raspberry-Pi-Teil plus Flutter-Desktop-App) fast
vollständig mit KI umgesetzt hat, kleinteilig gepromptet und Modell
für Modell durchprobiert (u. a. ChatGPT, Claude, Google Gemini,
GitHub Copilot). Spannend wird es, wenn er zeigt, wo alle Modelle
gleich scheitern: Ein simples systemd-journalctl-Filterproblem
lösen weder Claude noch Gemini zuverlässig, egal wie oft man
nachfragt: ein Hinweis darauf, dass ein Modellwechsel kein
Allheilmittel ist, wenn das eigentliche Problem woanders liegt.
Nebenbei liefert er eine herrlich kuriose Anekdote: Ein Modell
änderte wochenlang eigenmächtig eine Variable namens
"Fahrzeugkontrolle" in "Fahrzeugkontrolk", ganz ohne Erklärung,
auch auf Nachfrage nicht. Den größten roten Faden bildet
Spec-Driven Development: Statt vage zu prompten, zerlegt man
Anforderungen in kleine, in Gherkin formulierte Spezifikationen
(Stichwort Behavior-Driven Development), lässt dazu erst Tests
schreiben und erst danach Code generieren, ein Ansatz, den auch
GitHub SpecKit verfolgt. Rodewig zieht die Linie konsequent weiter
zu Security: KI kann Binaries ganz ohne Symbole disassemblieren und
in lesbaren C-Code zurückübersetzen: praktisch für Audits, aber
auch ein Albtraum für Patch-Zyklen, weil Angreifer aus einem
veröffentlichten Sicherheitsupdate per Diffing und LLM-Analyse in
Minuten einen Exploit bauen können, wo früher Tage an
Reverse-Engineering-Expertise nötig waren. Zum Schluss geht es um
MISRA C, den Coding-Standard für sicherheitskritische
Automotive-Software, und den Cyber Resilience Act, der ab 2027
verbindliche Sicherheitsanforderungen für vernetzte Produkte
bringt: beides Bereiche, in denen sich hundertseitige Regelwerke
heute schon in maschinenlesbare Guidelines übersetzen und direkt
beim Prompting durchsetzen lassen. Rodewigs Fazit ist unaufgeregt
und pointiert zugleich: Arbeitslos wird man nicht durch KI, sondern
dann, wenn man sie ignoriert.
Weitere Episoden
46 Minuten
vor 5 Tagen
52 Minuten
vor 1 Woche
48 Minuten
vor 2 Wochen
1 Stunde 4 Minuten
vor 3 Wochen
37 Minuten
vor 1 Monat
Kommentare (0)
Melde Dich an, um einen Kommentar zu schreiben.