Wer KI-generiertem Code blind vertraut, riskiert im Blockchain-Umfeld mehr als nur Bugs: Smart Contracts verwalten Millionenwerte, sind nach dem Deployment kaum korrigierbar – und werden von Angreifern systematisch nach Schwachstellen abgesucht. Eine neue Initiative will das strukturelle Sicherheitsproblem hinter dem sogenannten „Vibe Coding” endlich adressieren.
KI-generierter Smart-Contract-Code: Neue Prüfwerkzeuge sollen Sicherheitslücken schließen
Die wachsende Verbreitung von KI-gestützter Softwareentwicklung im Blockchain-Bereich bringt neue Risiken mit sich. Mit einem gemeinsamen Projekt wollen Matterhorn und die ASI Alliance nun Abhilfe schaffen: Spezialisierte Audit-Tools sollen KI-generierten Smart-Contract-Code systematisch auf Schwachstellen prüfen, bevor er in produktive Umgebungen gelangt.
Das Problem: Schnelle Code-Generierung, langsame Fehlerkultur
Der Begriff „Vibe Coding” beschreibt einen zunehmend verbreiteten Entwicklungsansatz, bei dem Programmierer Large Language Models nutzen, um Code weitgehend automatisch generieren zu lassen – oft mit minimalem manuellem Review. Im klassischen Softwarebereich mag das tolerierbar erscheinen, im Krypto- und Blockchain-Kontext ist es jedoch besonders riskant.
Smart Contracts verwalten zum Teil erhebliche Vermögenswerte, sind nach Deployment nur schwer oder gar nicht änderbar – und damit ein bevorzugtes Ziel für Angreifer.
Fehler in Smart Contracts sind in der Vergangenheit für Schäden in Milliardenhöhe verantwortlich gewesen. KI-generierter Code reproduziert dabei häufig bekannte Schwachstellenmuster aus Trainingsdaten – ohne dass der Entwickler dies zwingend erkennt.
Die Initiative: Audit-Infrastruktur für dezentrale KI-Entwicklung
Matterhorn und die ASI Alliance – ein Zusammenschluss dezentraler KI-Projekte – haben gemeinsam eine Reihe von Werkzeugen entwickelt, die speziell auf die Anforderungen KI-generierter Blockchain-Anwendungen ausgerichtet sind. Im Mittelpunkt stehen automatisierte Sicherheitsprüfungen, die in den Entwicklungsprozess integriert werden können und KI-erzeugten Code auf gängige Angriffsvektoren untersuchen:
- Reentrancy-Angriffe
- Integer-Overflows
- Fehlerhafte Zugriffskontrollen
Ergänzend dazu sieht das Projekt strukturierte Audit-Workflows vor, die menschliche Prüfer gezielt dort einbinden, wo automatisierte Verfahren an Grenzen stoßen. Das Ziel ist keine vollständige Ablösung menschlicher Expertise, sondern eine sinnvolle Arbeitsteilung zwischen KI-Analyse und manuellem Review.
Technischer Kontext: Warum LLMs im Blockchain-Umfeld besondere Vorsicht erfordern
Generative KI-Modelle sind darauf ausgelegt, wahrscheinliche Codesequenzen zu erzeugen – nicht notwendigerweise sichere. Im Blockchain-Bereich existieren zudem sprachspezifische Eigenheiten, etwa in Solidity oder Rust-basierten Umgebungen wie Substrate, die nicht immer hinreichend in Trainingsdaten repräsentiert sind.
Selbst korrekt erscheinender Code kann auf Protokollebene Schwachstellen enthalten, die erst im Zusammenspiel mit anderen Vertragskomponenten sichtbar werden.
Die neuen Tools setzen an mehreren Punkten an:
- Statische Codeanalyse – automatisierte Erkennung bekannter Fehlermuster
- Kontextbezogene Warnhinweise – direkte Rückmeldung während der Code-Generierung
- Post-hoc-Prüfungen – standardisierte Audit-Prozesse nach Abschluss der Entwicklung
Einordnung für deutsche Unternehmen
Für Unternehmen in Deutschland, die Blockchain-Technologien in Geschäftsprozesse integrieren oder eigene Token-Ökosysteme aufbauen, ist diese Entwicklung unmittelbar relevant. Die Kombination aus KI-gestützter Entwicklungsbeschleunigung und unzureichenden Sicherheitsprüfungen ist ein reales Betriebsrisiko – regulatorisch wie finanziell.
Initiativen wie die von Matterhorn und der ASI Alliance zeigen, dass sich innerhalb des Ökosystems ein Bewusstsein für strukturierte Qualitätssicherung entwickelt.
Unternehmen sollten allerdings nicht auf Brancheninitiativen warten, sondern eigene Anforderungen an Code-Audits und Sicherheitsstandards bereits in frühen Projektphasen definieren – unabhängig davon, ob der eingesetzte Code menschlichen oder maschinellen Ursprungs ist.
Quelle: Decrypt AI