Willkommen zur elften Ausgabe der KI-Navigator-Kolumne der DOAG KI Community!

Im Umfeld der Softwareentwicklung lassen sich unterschiedliche Typen der KI-Nutzung ausmachen, die wir bei uns in der WPS GmbH in fünf Typen unterteilen:

1. Nichtnutzer von KI
2. ChatGPT-Nutzer
3. Copilot Coder
4. Chat First Coder
5. Vibe Coder

Richtig angewendet führt KI meist zu höherer Effizienz und besserer Codequalität. Dennoch haben viele Entwicklerinnen und Entwickler ihr persönliches Optimum beim KI-Einsatz noch nicht erreicht. Wie stark KI den Entwicklungsprozess unterstützt, hängt von mehreren Faktoren ab: dem Erfahrungsgrad, den verfügbaren KI-Tools und den eingesetzten Technologien.

Im Folgenden stellen wir die fünf Typen näher vor – wie sie arbeiten, warum sie so arbeiten und welche Einschätzung wir jeweils dazu haben.

Die Nichtnutzer von KI

Diejenigen, die KI gar nicht nutzen, arbeiten wie in den vergangenen 15 oder 20 Jahren: Sie schreiben den gesamten Programmcode selbst. Sie verschaffen sich ohne KI-Unterstützung einen Überblick über vorhandenen Code, recherchieren über Google, Dokumentation sowie Foren und Diskussionen wie etwa auf Stack Overflow oder GitHub.

Dass sie so arbeiten, kann unterschiedliche Gründe haben. Der naheliegendste und vermutlich häufigste ist, dass ihre Firma den Einsatz von KI (noch) nicht erlaubt – etwa aus Sicherheitsbedenken. Andere haben KI eventuell aus grundsätzlichen Vorbehalten noch nicht ausprobiert. Manche haben KI getestet und waren von den Ergebnissen enttäuscht.

Eine Enttäuschung kann an mangelnder Erfahrung im Prompting oder fehlendem Bewusstsein für den nötigen Kontext liegen – beides lässt sich schnell aufholen. Möglicherweise war auch der Effekt der sogenannten Jagged Technological Frontier (die scharfe technologische Grenze) dafür verantwortlich. Das Prinzip beschreibt, dass KI scheinbar ähnliche Aufgaben teils erstaunlich gut, teils überraschend schlecht löst.

Es ist auch eine Frage des Typs, ob man von KI profitiert. Wer schon lange mit einer bestimmten Technologie arbeitet, schnell recherchiert und effizient adaptieren kann, spürt womöglich (noch) keinen echten Effizienzgewinn durch KI. Allerdings hat eine Studie gezeigt, dass gerade Leistungsträger eher Bedenken vor KI haben, obwohl sie laut Untersuchungen paradoxerweise mehr profitieren.

Nicht zuletzt stellt sich die Frage: Wie aktuell sind die negativen Erfahrungen mit KI-Unterstützung? Unsere Beobachtung zeigt: Was vor drei bis sechs Monaten noch nicht zufriedenstellend funktionierte, kann heute bereits robust einsatzfähig sein.

Die ChatGPT-Nutzer

Nach unserer Definition nutzen ChatGPT-Anwender KI nur gelegentlich – etwa ein paar Mal pro Tag. Dieses Nutzungsverhalten beobachtet man häufig, wenn ChatGPT das einzige verwendete KI-Tool ist. Die Intensität der Nutzung hängt stark vom verfügbaren Tooling ab: Ist KI wie bei GitHub Copilot direkt ins Entwicklungstool integriert, kommt sie meist deutlich häufiger zum Einsatz.

ChatGPT-Nutzer setzen KI vor allem für Recherche ein und ersetzen damit teilweise das Googeln, das Lesen von Dokumentationen und das Durchforsten von Foren. Auch zum Generieren von Code-Snippets oder Beispielen, zum Erklären von Code oder Analysieren von Fehlermeldungen ziehen sie ChatGPT gelegentlich heran.

Was ist die Motivation, (nur) das pure ChatGPT oder vergleichbare Chatbots wie Claude oder Gemini zu verwenden? Zum einen ist der Einsatz ähnlich niederschwellig wie die Google-Suche. Zum anderen behalten Entwicklerinnen und Entwickler die volle Kontrolle darüber, welchen eigenen Code sie der KI zur Verfügung stellen.

ChatGPT ist oft das bevorzugte Werkzeug, wenn eine Firma keine klare oder offizielle Regeln für den Umgang mit KI-Tools definiert hat und sich der Einsatz in einem Graubereich bewegt. Um diesem unerwünschten Zustand entgegenzuwirken, haben wir in unserer Firma eine KI-Richtlinie entwickelt, die den Developern eine klare Orientierung bietet.

Die Copilot-Coder

Copilot-Coder haben ihren KI-Programmierassistenten ständig im Einsatz. Er ist direkt in die Entwicklungsumgebung integriert und lässt sich dadurch einfach und ohne Hürden verwenden. Der wohl größte Vorteil gegenüber der Nutzung von ChatGPT liegt in der Autovervollständigung: Während des Codens macht die KI automatisch Vorschläge für den weiteren Code – oft mit erstaunlich guten Ergebnissen.

Mittlerweile existiert eine Vielzahl solcher KI-Tools. Der bekannteste Vertreter ist GitHub Copilot, aber auch JetBrains AI Assistant oder die KI-Entwicklungsumgebung Cursor bieten beeindruckende Funktionen. Beispiele sind das Beheben von Programmierfehlern per Klick, das automatische Generieren der Dokumentation und die nahtlose Integration eines KI-Chatbots mit einer Auswahl der besten und aktuellsten Modellen.

Copilot-Coder bleiben meist stark codezentriert. Sie beschränken den Einsatz der KI bewusst auf einen kleinen, selbst definierten Kontext innerhalb ihrer Projekte, etwa beim Generieren einer Filterfunktion für eine Liste. Das Einfügen eines Buttons, der den Filter auslöst, oder das Abspeichern des Ergebnisses würden anschließend in separaten, KI-unterstützten Schritten erfolgen.

Diese Arbeitsweise etabliert sich nach unserer Erfahrung ganz natürlich bei engagierten Entwicklern und Entwicklerinnen, die mit einem Copilot-ähnlichen Tool arbeiten. Ausschlaggebend dafür ist in vielen Fällen, dass das Unternehmen eine Business-Lizenz bereitstellt. Nach unseren Beobachtungen markierte diese Vorgehensweise bis etwa Ende letzten Jahres das maximal Machbare mit den damals verfügbaren Tools.

Die Chat-First-Coder

Dieser Ansatz ist erst seit dem Jahreswechsel 2024/2025 praktikabel. Entscheidend dafür war die Einführung von KI-Agenten in gängige Programmierassistenten – zunächst in Cursor und seit April 2025 auch standardmäßig in GitHub Copilot und Junie von Netbrains. Abgesehen von einigen Kinderkrankheiten und längeren Rechenzeiten können wir KI-Agenten für die meisten Anwendungsfälle empfehlen – auch für diejenigen, die noch eher im Stil der Copilot-Coder arbeiten.

Chat-First-Coder behandeln den Quellcode und den Chat mit dem KI-Assistenten als gleichwertige Elemente. Sie beschreiben ein Feature vollständig oder teilweise im Chat – der Assistent entwickelt daraufhin eigenständig einen Plan, passt den Programmcode an, testet Änderungen und nimmt bei Bedarf Korrekturen vor. Für die obige Beispielanforderung zum Filtern einer Liste würde die KI den nötigen Button und das Abspeichern in einem Schritt hinzufügen. Unsere Herangehensweise dabei ist, dass wir vor dem Chat mit der KI eine klare Erwartungshaltung entwickeln, an der wir das anschließend generierte Ergebnis überprüfen.

Besonders für Chat-First-Coder ist es unerlässlich, den generierten Quellcode nie ungesehen oder unverstanden zu übernehmen. Des Weiteren sind eine klare Vorstellung von der Struktur des Programmcodes, im Großen wie im Kleinen, und sorgfältiges Testen essenziell. Hier liegt die Verantwortung bei den Developern, und unsere Erfahrung zeigt: Genau an dieser Stelle entstehen derzeit bereits erste Qualitätsprobleme, weil die Sorgfalt manchmal fehlt.

Die kontrollierte, eng geführte Form der Code-Generierung durch KI-Agenten wird teilweise als Vise-Coding bezeichnet. Im Gegensatz dazu steht die letzte Stufe der KI-Nutzung: das Vibe-Programming.

Die Vibe-Coder

Vereinfacht gesagt bedeutet Vibe-Coding, Software zu entwickeln, ohne den entstandenen Programmcode überhaupt anzusehen: Man formuliert lediglich einen Prompt, beobachtet das Ergebnis und schreibt dann den nächsten – die Arbeit erfolgt nach dem Motto: „Hauptsache, es funktioniert.“ Andrej Karpathy hat den Begriff Anfang 2025 geprägt.

Das ist die Richtung, in die Tools wie Devin schon seit einiger Zeit drängen – bislang mit eher mäßigem Erfolg oder stark eingeschränktem Anwendungsbereich. Seit der Einführung des Agentenmodus ist dieser Ansatz nun grundsätzlich auch mit Tools wie GitHub Copilot, Cursor, Codex und Google Firebase Studio umsetzbar.

Nach aktuellem Stand lassen sich mit dieser Methode zwar definitiv keine größeren, robusten Softwareprojekte realisieren – für kleine Prototypen kann sie jedoch bereits hilfreich sein. Insbesondere bei kurzen Skripten, etwa in einem Auswertungscode in Python lassen sich bereits gute Ergebnisse erzielen.

Tipps für Developer und Unternehmen

Es ist absehbar, dass KI-Assistenz künftig immer leistungsfähiger wird – und sich darauf aufbauende Arbeitsabläufe unter Entwicklern zunehmend etablieren. Eine aus unserer Sicht hilfreiche Prognose liefert Lars Röwekamp in seinem Kolumnenbeitrag „Läutet KI das Ende der Spezies Softwareentwickler ein?“ Wer sich aus einer alternativen Perspektive mit den Stufen der KI-Adaption befassen möchte, dem sei ein unterhaltsamer Artikel auf Zef+ empfohlen.

Um den Einsatz von KI-Programmierassistenten konkret voranzutreiben, möchten wir abschließend zwei Empfehlungen geben:

Entwicklerinnen und Entwickler sollten gezielt überlegen, in welchen Bereichen KI ihnen beim Coden helfen kann – es gibt fast immer geeignete Use Cases. Und sie sollten diese Evaluation regelmäßig wiederholen, da sich die Möglichkeiten in sehr kurzen Zyklen verändern. Gerade derzeit kann sich eine Neubewertung alle drei bis sechs Monate lohnen.

Unternehmen sollten den Einsatz von KI-Programmierassistenten ermöglichen. Wo es sinnvoll ist, sollten sie ihren Developern Wahlfreiheit bei den Tools lassen, ihnen aber klare Richtlinien an die Hand geben, wie die Tools zu nutzen sind.

Wer sich über KI-Programmierassistenten und den Einsatz von KI allgemein weitergehend informieren möchte, findet dazu auf der Konferenz KI Navigator am 19. und 20. November in Nürnberg Gelegenheit.

(rme)

GitLab 18.1 steht mit über 100 Neuerungen bereit. Die Softwareentwicklungsplattform bietet nun unter anderem eine virtuelle Maven-Registry, macht den KI-Dienst Duo Code Review allgemein verfügbar und erkennt kompromittierte Passwörter.

GitLab.com warnt vor geleakten Passwörtern

Um die Sicherheit zu erhöhen, wendet GitLab.com in der aktuellen Version einen Security-Check auf Account-Anmeldedaten an, wenn sich Nutzerinnen und Nutzer einloggen. Sollte das verwendete Passwort in einem bekannten Leak enthalten sein, zeigt GitLab der betroffenen Person ein Banner an und sendet ihr eine E-Mail-Benachrichtigung. Dabei enthalten das Banner und die E-Mail Anweisungen, wie sich die Credentials aktualisieren lassen.

Dieses Feature ist nur in der SaaS-Variante GitLab.com verfügbar, nicht in selbstverwalteten Editionen. Auch bezieht es sich ausschließlich auf native GitLab-Usernamen und -Passwörter; SSO-Anmeldedaten werden nicht geprüft.

Duo Code Review: KI-Dienst ist reif für die Produktion

Allen zahlenden GitLab-Usern steht Duo Code Review nun nach einer Beta-Phase allgemein zur Verfügung und ist bereit für den Einsatz in der Produktion. Das KI-gestützte Feature bietet Feedback zu Merge Requests und soll dabei helfen, potenzielle Bugs, Sicherheitslücken und Probleme bezüglich der Codequalität festzustellen – noch bevor menschliche Reviewer sich dem Code widmen.

Duo Code Review nutzt das große Sprachmodell Anthropic Claude 3.7 Sonnet. An dieses werden laut der Dokumentation folgende Daten gesendet:

• Inhalte der geänderten Dateien
• Dateinamen
• Titel der Merge Requests
• Beschreibung der Merge Requests

Zu den weiteren Updates in GitLab 18.1 zählt die Maven Virtual Registry. Diese befindet sich im Beta-Status und ist für Premium- und Ultimate-Kunden sowohl in SaaS- als auch in selbstverwalteten GitLab-Instanzen verfügbar. Sie soll das Dependency Management für das Build-Tool Maven, das für Java-Projekte genutzt wird, vereinfachen.

Weitere Informationen zu den Highlights in GitLab 18.1 hält der GitLab-Blog bereit.

(mai)

In der quelloffenen Kanban-Software Kanboard haben die Entwickler mit einer aktualisierten Software-Version eine hochriskante Schwachstelle ausgebessert. Angreifer können dadurch Kanboard-Konten übernehmen.

Die Kanboard-Entwickler erörtern die Sicherheitslücke in einer Sicherheitsmitteilung im Github-Repository. „Kanboard ermöglicht den Versand von E-Mails zum Zurücksetzen von Passwörtern mit URLs, die aus dem nicht überprüften Host-Header stammen, wenn die Konfiguration ‚application_url‘ nicht gesetzt ist – was die Standardeinstellung von Kanboard ist. Angreifer können einen bösartigen Link zum Passwortrücksetzen erstellen, der das Token an eine Angreifer-kontrollierte Domain weiterleitet. Wenn Opfer – einschließlich Administratoren – auf den bösartig manipulierten Link klicken, können Angreifer das Konto übernehmen. Dies betrifft alle Benutzer, die ein Passwort-Reset anstoßen, während ‚application_url‘ nicht gesetzt ist“, schreiben sie dort (CVE-2025-52560 / EUVD-2025-18976, CVSS 8.1, Risiko „hoch„).

Kanboard: Verwundbare Versionen

Offenbar ist zudem etwas Social Engineering nötig, um potenzielle Opfer zum Anfordern eines Passwort-Resets zu bewegen. Der Fehler betrifft Kanboard vor der aktuellen Fassung 1.2.46. Am Sonntag haben die Entwickler das Update herausgegeben. Die Release-Notes zu Kanboard 1.2.46 nennen neben dieser Sicherheitskorrektur weitere Fehlerbehebungen und teils neue Funktionen. Ein wichtiger Hinweis ist etwa, dass PHP 7.4 nicht mehr unterstützt wird, Kanboard 1.2.46 setzt mindestens PHP 8.1 voraus; das Docker-Image nutzt standardmäßig PHP 8.4.

Admins sollten das Update zeitnah installieren, da die Risikoeinstufung „hoch“ lautet. Die Kanboard-Entwickler stellen aktualisierte Quellen und auch Docker-Container bereit, sie verlinken sie in den Release-Notes und erörtern das Docker-Update.

(dmk)