20:45 uur 30-07-2025

Door AI gegenereerde code brengt belangrijke beveiligingsrisico’s met zich mee in bijna de helft van alle ontwikkelingstaken, onthult een onderzoek van Veracode

Uitgebreide analyse van meer dan 100 LLM’s (Large Language Models) legt beveiligingsleemtes bloot: Java duikt op als programmeertaal met de hoogste risico’s, terwijl AI 86% van cross-site scripting-bedreigingen niet ziet

BURLINGTON, Mass.–(BUSINESS WIRE)– Veracode, een wereldleider op gebied van het beheer van toepassingsrisico’s, onthulde vandaag haar 2025 GenAI Code Security Report, waarin kritieke beveiligingsgebreken in door AI gegenereerde code wordt onthuld. De studie analyseeede 80 gecureerde codeertaken in meer dan 100 LLM’s (Large Language Models). Zo werd onthuld dat terwijl AI functionele code produceert, het in 45 procent van de gevallen kwetsbaarheden voor de beveiliging met zich meebrengt.

Dit persbericht bevat multimedia. Bekijk hier het volledige persbericht: https://www.businesswire.com/news/home/20250730793580/nl/

Security and Syntax Pass Rates vs LLM Release from the Veracode 2025 GenAI Code Security Report

Security and Syntax Pass Rates vs LLM Release from the Veracode 2025 GenAI Code Security Report

Het onderzoek toont een zorgwekkend patroon aan: wanneer de keuze wordt geboden tussen een veilige en een onveilige methode om code te schrijven, gaan GenAI-modellen in 45 procent van de gevallen voor de onveilige optie. Wat misschien zelfs nog meer reden tot bezorgdheid baart, is dat het onderzoek van Veracode ook een kritieke trend heeft ontdekt: ondanks vorderingen in het vermogen van LLM’s om syntactisch correcte code te genereren, werden de prestaties van de beveiliging niet bijgebeend en bleven die na verloop van tijd onveranderd.

“De opkomst van vibe coding, waar ontwikkelaars op AI vertrouwen om code te genereren, doorgaans zonder expliciet beveiligingsvereisten te definiëren, vormt een fundamentele verschuiving in de manier waarop software is gebouwd,” verklaart Jens Wessling, Chief Technology Officer van Veracode. “De voornaamste bekommernis bij deze trend is dat zij geen beveiligingsbeperkingen hoeven te specificeren om de code te verkrijgen die zij willen, waarbij beslissingen inzake veilige codering effectief aan LLM’s wordt overgelaten. Ons onderzoek onthult dat GenAI-modellen in bijna de helft van de gevallen de verkeerde keuze maken, en het wordt er niet beter op.”

AI maakt het voor aanvallers mogelijk om beveiligingskwetsbaarheden sneller en efficiënter op te sporen en uit te buiten. Tools aangestuurd door AI kunnen systemen op grote schaal gaan scannen, zwakheden vaststellen en zelfs exploitatiecode met een minimale menselijke input genereren. Dit verlaagt de barrière voor minder onderlegde aanvallers om binnen te raken en vergroot de snelheid en de geraffineerdheid van aanvallen, wat voor traditionele beveiligingsverdediging een aanzienlijke bedreiging vormt. De kwetsbaarheden nemen niet alleen toe, maar het wordt ook makkelijker om die kwetsbaarheden te kunnen exploiteren.

LLM’s introduceren doorsneekwetsbaarheden voor de beveiliging van gevaarlijke niveaus

Om de beveiligingseigenschappen van door LLM gegenereerde code te evalueren, ontwierp Veracode een set van 80 codevoltooiingstaken met gekend potentieel voor beveiligingskwetsbaarheden volgens het MITRE Common Weakness Enumeration (CWE) systeem, een standaard classificatie van softwarezwakheden die kwetsbaarheden kunnen worden. De taken vroegen aan meer dan 100 LLM’s om auomatisch een block met code op een veilige of onveilige manier te voltooien, die het onderzoeksteam vervolgens met behulp van Veracode Static Analysis heeft geanalyseerd. In 45 procent van alle testgevallen hadden LLM’s kwetsbaarheden geïntroduceerd die in de OWASP (Open Web Application Security Project) Top 10 geclassificeerd staan — dit zijn de meest kritieke beveiligingsrisico’s voor internettoepassingen.

Veracode stelde vast dat Java de meest risicovolle taal voor AI-codegeneratie bleek, met een beveiligingsinbreukenpercentage van meer dan 70 procent. Andere belangrijke talen, zoals Python, C# en JavaScript, vertoonden nog altijd een aanzienlijk risico, met inbreukpercentages tussen 38 procent en 45 procent. Het onderzoek onthulde ook dat LLM’s er niet in slaagden om code te beveiligen tegen cross-site scripting (CWE-80) en loginjectie (CWE-117) in respectievelijk 86 procent en 88 procent van de gevallen.

“In weerwil van de vorderingen in ontwikkeling ondersteund door AI, is het duidelijk dat beveiliging achterop hinkt,” aldus Wessling. “Ons onderzoek toont aan dat de modellen beter worden in het coderen, maar dat ze niet beter worden wat beveiliging betreft. We stelden ook vast dat grotere modellen het niet veel beter doen dan kleinere modellen, wat laat vermoeden dat dit een systemisch probleem is in plaats van een LLM-schaalvergrotingsprobleem.”

Toepassingsrisico’s in het AI-tijdperk beheren

Hoewel GenAI-ontwikkelingspraktijken zoals vibe coding de productiviteit versnellen, vergroten ze ook de risico’s. Veracode benadrukt dat organisaties een omvattend programma voor risicobeheer nodig hebben, dat kwetsbaarheden voorkomt voordat zij in productie komen — door codekwaliteitscontroles en geautomatiseerde oplossingen rechtstreeks in de ontwikkelingsworkflow te integreren.

Nu organisaties steeds meer ontwikkeling aangestuurd door AI gebruiken, raadt Veracode aan om de volgende pro-actieve maatregelen te nemen om beveiliging te verzekeren:

  • Door AI aangestuurde tools zoals Veracode Fix in de workflows van ontwikkelaars integreren om beveiligingsrisico’s in realtime op te lossen.
  • Gebruik maken van Static Analysis om gebreken vroegtijdig en automatisch op te sporen, om te voorkomen dat kwetsbare code in de ontwikkelingspijplijnen verder kan gaan.
  • Beveiliging in agentic workflows integreren om beleidsnaleving te automatiseren en ervoor te zorgen dat AI agents veilige coderingsstandaarden versterken.
  • Gebruik maken van Software Composition Analysis (SCA) om te verzekeren dat door AI gegenereerde code geen kwetsbaarheden door afhankelijkheden van derden en open-source componenten introduceert.
  • Begeleiding op maat met door AI aangestuurde oplossingen toepassen om ontwikkelaars te ondersteunen met nauwkeurige instructies om problemen op te lossen en hen trainen om de aanbevelingen effectief te gebruiken.
  • Een Package Firewall integreren om boosaardige packages, kwetsbaarheden en inbreuken op beleidslijnen automatisch te detecteren en die te blokkeren.

“AI-coderingsassistenten en agentic workflows vormen de toekomst van softwareontwikkeling, en ze zullen verder aan sneltreintempo blijven evolueren,” besluit Wessling. “De uitdaging waar elke organisatie voor staat, is te verzekeren dat beveiliging met gelijke tred mee evolueert met deze nieuwe capaciteiten. Beveiliging mag geen achterafje zijn als we ophoping van massieve beveiligingsschuld willen vermijden.”

De volledige 2025 GenAI Code Security Report is ter download beschikbaar op de website van Veracode.

Over Veracode

Veracode is een wereldleider op het gebied van het beheer van toepassingsrisico’s voor het AI-tijdperk. Het Veracode-platform, aangedreven door biljoenen lijnen codescans en een eigen AI-ondersteunende herstelengine, wordt vertrouwd door organisaties overal ter wereld om beveiligde software te bouwen en behouden, van de creatie van code tot implementatie via de cloud. Duizenden van ‘s werelds toonaangevende ontwikkelings- en beveiligingsteams gebruiken heel de dag door Veracode om nauwkeurige, praktische zichtbaarheid te krijgen in exploiteerbare risico’s, herstel van fouten in realtime te krijgen en hun beveiligingsschuld op grote schaal te verminderen. Veracode is een met meerdere prijzen bekroond bedrijf dat mogelijkheden biedt om de volledige levenscyclus van softwareontwikkeling te beveiligen, waaronder Veracode-herstel, statische analyse, dynamische analyse, analyse van softwaresamenstelling, beveiliging van containers, beheer van softwarebeveiligingshouding, detectie van kwaadaardige pakketten en testen van penetratie.

Meer informatie op www.veracode.com, op het Veracode blog en op LinkedIn en X.

Copyright © 2025 Veracode, Inc. Alle rechten voorbehouden. Veracode is een geregistreerd handelsmerk van Veracode, Inc. in de Verenigde Staten en kan in bepaalde andere rechtsgebieden mogelijk geregistreerd zijn. Alle andere namen, merken of logo’s van producten horen toe aan hun respectievelijke houders. Alle andere handelsmerken die hierin worden vermeld, zijn eigendom van hun respectievelijke eigenaren.

Deze bekendmaking is officieel geldend in de originele brontaal. Vertalingen zijn slechts als leeshulp bedoeld en moeten worden vergeleken met de tekst in de brontaal, die als enige rechtsgeldig is.

Contacts

Pers en media:
Katy Gwilliam

Hoofd Internationale Communicatie, Veracode

kgwilliam@veracode.com

Check out our twitter: @NewsNovumpr