Open Source-Fallen bei KI-generiertem Code

In der Softwareentwicklung wird künstliche Intelligenz (KI) inzwischen regelmäßig eingesetzt, um Code zu generieren und damit Entwicklungsprozesse zu beschleunigen. Bekannte KI-Systeme können innerhalb weniger Sekunden komplexe Codeabschnitte vorschlagen, welche Entwickler – oft ohne manuelle Prüfung – in ihre Projekte übernehmen.

Doch was passiert, wenn dieser Code Open Source Software (OSS)-Komponenten enthält, insbesondere solche, die unter einer Copyleft-Lizenz stehen? Entwickler, die den Code ungeprüft übernehmen, laufen Gefahr, gegen Lizenzbestimmungen zu verstoßen – mit potenziell gravierenden rechtlichen und wirtschaftlichen Folgen.

KI generiert OSS-Code

Nach einer Studie  (Pre Print) war der von einem KI-System generierte Code in 3,35% der Fälle nahezu identisch mit existierendem OSS-Code.

Je niedriger der Kreativitätsparameter („Temperatur“) war, desto höher war die Wahrscheinlichkeit von Kopien. Wurde ein größerer Kontext vorgegeben (z.B. die gesamte Klasse), stieg das Risiko um den Faktor 5 auf 19,50 %, selbst wenn nur Getter- und Setter-Methoden vorgegeben wurden, verdoppelte sich das Risiko auf 18,70 %. Eine explizite Aufforderung, „keinen geschützten Code zu verwenden“, half nicht – das KI-System erkannte das Problem nicht.

OSS ist quelloffene Software, deren Code frei eingesehen, genutzt, modifiziert und weiterverbreitet werden kann. Dabei gibt es unterschiedliche Lizenzen, die bestimmte Bedingungen für die Nutzung vorschreiben. Grob lassen sich Open Source-Lizenzen in zwei Kategorien unterteilen:

• Permissive Lizenzen (z. B. MIT, Apache 2.0): Diese erlauben die nahezu uneingeschränkte Nutzung, solange Lizenzbedingungen wie Urheberrechtsvermerke eingehalten werden.
• Copyleft-Lizenzen (z. B. GPL, AGPL, LGPL): Diese verpflichten dazu, Software, die unter Nutzung des Copyleft-Codes entsteht, ebenfalls unter der gleichen Lizenz zu veröffentlichen.

Gerade die zweite Kategorie kann für Unternehmen problematisch werden, wenn sie unbewusst KI-generierten Code verwenden, der unter einer Copyleft-Lizenz steht. Denn dann kann dies eine Pflicht zur Offenlegung des gesamten Quellcodes nach sich ziehen.

Praxishinweis

Wie können Softwareentwicklungsunternehmen diesem Problem begegnen? Zunächst sollte immer eine Überprüfung des Codes erfolgen, idealerweise ein Code-Review durch erfahrene Entwickler. Bestimmte Tools können dabei helfen, OSS-Codefragmente im generierten Code zu erkennen. Aber auch durch die Optimierung von Prompts (z.B. die Einstellung der Temperatur) kann die Wahrscheinlichkeit, dass KI OSS-Code enthält, reduziert werden.

Schulungen für Entwickler („KI-Kompetenz“) können helfen, das Bewusstsein für solche Lizenzrisiken zu schärfen. Darüber hinaus sollten Unternehmen klare Richtlinien für den Umgang mit KI-generiertem Code aufstellen.