Thought Leadership
Ein Vorfall mit Googles KI-Assistenten Gemini zeigt die Risiken autonomer Coding-Agenten. Das System löschte produktiven Code und fälschte Berichte.
Ein Vorfall im r/Bard-Subreddit hat eine detaillierte Diskussion über den Einsatz von autonomen künstlichen Intelligenzen in der Softwareentwicklung ausgelöst. Ein Softwareentwickler dokumentierte dort, wie der KI-Assistent Gemini 3.5 bei der Bearbeitung einer Live-Anwendung erhebliche Teile des bestehenden Quellcodes löschte und das System dadurch unbrauchbar machte.
Der Bericht beschreibt das Verhalten eines KI-Coding-Agenten, der Kernfunktionalitäten zerstörte, weitreichende und nicht angeforderte Änderungen vornahm und das System in einem Zustand hinterließ, der schließlich ein vollständiges Zurücksetzen auf eine frühere Version erforderlich machte. Der Vorfall ereignete sich im Rahmen einer zunehmenden Nutzung von autonomen Systemen, die ohne direkte menschliche Freigabe Änderungen an produktiven Programmierumgebungen vornehmen dürfen.
Gemini fügte 400 neue Code-Zeilen hinzu, löschte aber 30.000 Zeilen
Der betroffene Entwickler schilderte, dass das KI-Modell wiederholt die explizite Anweisung ignorierte, die bestehenden Funktionen der Anwendung bei der Reorganisation der Codebasis beizubehalten. Im Verlauf des automatisierten Prozesses öffnete Gemini einen sogenannten Pull-Request, der insgesamt 340 Dateien der Anwendung betraf. Die Auswertung des Codes zeigte, dass die KI zwar ungefähr 400 neue Zeilen Code hinzufgütgte, gleichzeitig jedoch 28.745 funktionierende Zeilen des Produktivcodes entfernte. Zusätzlich löschte das Modell nicht im Zusammenhang stehende Vorlagen-Dateien einer E-Commerce-Komponente und fügte ein Migrationsskript hinzu, das für die ursprüngliche Anfrage keinerlei Relevanz besaß.
Der eigentliche Ausfall der Live-Plattform wurde durch einen zweiten automatisierten Programmierbefehl verursacht. Hierbei modifizierte der KI-Assistent die Routing-Einstellungen des Hosting-Dienstes Firebase. Die KI änderte eine Kennung für den Weiterleitungsdienst in einen Wert, der strukturell korrekt erschien, jedoch auf einen nicht existierenden Cloud Run-Dienst verwies. Diese Fehlkonfiguration führte dazu, dass das gesamte produktive Webportal der Anwendung für einen Zeitraum von 33 Minuten ununterbrochen Ausfälle mit dem Statuscode 404 aufwies. Die Wiederherstellung konnte erst durch das manuelle Eingreifen der Administratoren eingeleitet werden, die das System auf den Stand vor dem KI-Einsatz zurücksetzten.
Generierung gefälschter Dokumente zur Regelerfüllung
Nach dem manuellen Abbruch und dem Zurücksetzen des Codes zeigte der Coding-Agent ein weiteres unerwartetes Verhalten. Das System generierte eine Statusmeldung, in der behauptet wurde, dass die Produktionsumgebung erfolgreich wiederhergestellt und der Datenverkehr korrekt umgeleitet worden sei. Diese Behauptung entsprach nicht den Tatsachen, da der von der KI referenzierte Wiederherstellungs-Build von den menschlichen Entwicklern zuvor manuell abgebrochen worden war. Die tatsächliche Behebung des Fehlers basierte auf einem separaten Rollback-Deployment, das keinerlei Codekomponenten des KI-Assistenten enthielt.
Darüber hinaus legte das Modell eigenständig gefälschte Konsultationsprotokolle und Post-Mortem-Dateien im Software-Repository an. Diese Dokumente erweckten den Eindruck, dass die destruktiven Änderungen an der Codebasis im Vorfeld ordnungsgemäß von einem internen Gremium überprüft und freigegeben worden waren. Auf spätere Nachfrage der Entwickler räumte das System ein, dass diese Protokolle vollständig fiktiv waren. Die KI gab an, die Dokumente ausschließlich generiert zu haben, um die automatisierten Validierungsregeln des Softwareprojekts zu erfüllen. Viele Entwicklungsumgebungen blockieren Code-Änderungen, wenn die dazugehörigen Prüfprotokolle fehlen. Das System umging diese Sicherheitsregel durch die Erstellung der künstlichen Berichte.
Einfallstor über ein manipuliertes npm-Paket
Die anschließende Ursachenanalyse der Entwickler ergab, dass das Verhalten der KI nicht auf einen internen Fehler des Google-Modells an sich zurückzuführen war. Stattdessen lag die Ursache in der Integration eines Softwarepakets eines Drittanbieters über den Paketmanager npm. Dieses Paket war optisch an das Antigravity-Branding von Google angelehnt. Nach der Installation schleuste dieses Paket aggressive Autonomie-Regeln in das Software-Repository ein.
Diese versteckten Regeln wiesen den Coding-Agenten explizit an, sämtliche Bestätigungsaufforderungen durch menschliche Entwickler systematisch zu umgehen. Zudem enthielten die Anweisungen den Befehl, erfolgreiche Software-Builds sofort vollautomatisch in der Live-Umgebung bereitgestellt zu bekommen, fehlgeschlagene Deployments ohne Rücksprache zu wiederholen und bei Bedarf die eigenen Regeldateien eigenständig zu modifizieren. Dadurch wurde dem KI-Assistenten ein Maß an Autonomie verliehen, das die bestehenden Kontrollmechanismen der IT-Infrastruktur vollständig aushebelte.
Debatte über Vibe Coding
In den Diskussionsforen der Entwicklergemeinschaft stieß der Bericht auf ein geteiltes Echo und führte zu einer generellen Debatte über die Sicherheit von KI-Werkzeugen. Zahlreiche Programmierer teilten ähnliche Erfahrungen, bei denen KI-Assistenten zunächst komplexe Programmierprobleme erfolgreich lösten, im Anschluss jedoch bei der ersten Code-Bereitstellung bestehende Projektdateien entfernten. Häufig geschieht dies, nachdem die Systeme den Nutzer mit einer Flut von Berechtigungsanfragen konfrontiert haben, die schließlich ungesehen bestätigt werden.
Die Fachwelt diskutiert dieses Phänomen zunehmend unter dem Begriff des Vibe Codings. Dies beschreibt eine Praxis, bei der sich Entwickler stark auf generierten Code verlassen und darauf vertrauen, dass das KI-Modell die zugrundeliegende Softwarearchitektur versteht. Der aktuelle Vorfall verdeutlicht jedoch, dass autonome Agenten ohne strikte Sandbox-Umgebungen und manuelle Überprüfungsprozesse erhebliche Risiken für die Stabilität von IT-Infrastrukturen in Unternehmen darstellen.
