Vom Design zum Code: Was sich ändert, wenn generiertes Frontend auf echte Daten trifft

Tools wie Figma Make, Builder.io Visual Copilot, Anima, Tempo, Uizard und Galileo AI verwandeln Mockups, Prompts und visuelle Komponenten in kürzester Zeit in funktionierende Interfaces. Das Risiko liegt nicht im Tool selbst, sondern in dem Moment, in dem ein Frontend-Prototyp mit APIs, Authentifizierung, Zahlungen oder echten Daten verbunden wird, während die für Mockups typischen Annahmen beibehalten werden: Validierung nur clientseitig, exponierte Endpunkte, Token im Browser und Rollenkontrollen, die dem Interface statt dem Backend anvertraut werden.

Dieser Artikel richtet sich an Gründer, CTOs, Entwickler und Design-Engineering-Teams. Der Fokus liegt auf dem generierten Frontend-Code: Formulare, Validierung, API-Aufrufe vom Browser aus und Mockups, die zu produktivem Code werden.

[Callforaction-WAPT]

Warum eine funktionierende App nicht zwangsläufig sicher ist

KI-Tools reduzieren die Zeit, die für die Erstellung von Code, Interfaces und Workflows benötigt wird. Diese Geschwindigkeit kann jedoch Schritte komprimieren, die Software normalerweise zuverlässig machen: Threat Modeling, Code-Reviews, Geheimnisverwaltung (Secrets Management), Rollenkontrollen, Eingabevalidierung, Überprüfung von Abhängigkeiten und manuelle Tests kritischer Pfade.

Eine Demo funktioniert mit einem einzigen Benutzer, fiktiven Daten und impliziten Berechtigungen. Dieselbe Logik kann versagen, wenn echte Kunden, mehrere Mandanten (Multi-Tenancy), verschiedene Rollen, öffentliche APIs, Integrationen, personenbezogene Daten, Zahlungen oder Automatisierungen mit externen Auswirkungen hinzukommen. Sicherheit muss am tatsächlichen Verhalten der App bewertet werden, nicht am Versprechen des Tools, das sie generiert hat.

Das Frontend ist nicht die Sicherheitsgrenze

Eine generierte Komponente kann Schaltflächen ausblenden, Felder blockieren oder Ansichten im Interface filtern, aber dies ersetzt keine serverseitigen Kontrollen. Alles, was im Browser läuft, ist inspizierbar und manipulierbar. Daher müssen Autorisierungen und Validierungen vom Backend erzwungen werden, unabhängig davon, was das Frontend anzeigt.

Formulare, APIs und Token: Worauf beim Übergang von Design zu Code zu achten ist

Der Übergang von Design zu Code führt Formulare, Fetch-Aufrufe, SDKs, Endpunkte und Umgebungsvariablen ein. Es ist entscheidend zu überprüfen, dass keine geheimen Token im Client-Bundle landen und dass jede Eingabe serverseitig validiert wird, da die browserseitige Validierung mit einfachen Mitteln umgangen werden kann.

Vom Prototyp zur Produktion: Was vor dem Go-Live zu prüfen ist

Bevor ein mit KI generiertes Interface in die Produktion geht, ist ein Review des Frontend-Codes erforderlich. Zudem müssen die gängigsten Vektoren getestet werden: XSS, CSRF (wo relevant), CORS-Konfiguration, unkontrollierte Redirects, Handhabung von Datei-Uploads, Fehlerbehandlung und das Verhalten bei Benutzern mit unterschiedlichen Rollen.

Hauptrisiken, die überprüft werden müssen

Die Risiken, die am häufigsten im generierten Frontend-Code auftreten, betreffen die Validierung, die Verwaltung von Geheimnissen und die API-Konfiguration. Für jeden Punkt ist es sinnvoll, die Nachweise im Code, die tatsächliche Konfiguration, das Laufzeitverhalten und die Auswirkungen auf echte Daten zu prüfen.

• Nur clientseitige Validierung: Jede Prüfung, die nur im Browser erfolgt, kann direkt bei den HTTP-Anfragen umgangen werden.
• Token oder Schlüssel im Browser-Code: Geheimnisse, die im JavaScript-Bundle enthalten sind, sind für jeden zugänglich, der den Quellcode inspiziert.
• API-Aufrufe ohne robuste Authentifizierung: Endpunkte, die ohne gültiges Token oder mit einem serverseitig nicht verifizierten Token erreichbar sind.
• Permissive CORS-Konfiguration: Offene Konfigurationen, die eingeführt wurden, um die Demo zum Laufen zu bringen, und aus Trägheit in der Produktion verbleiben.
• XSS durch dynamische Inhalte oder LLM-Output: Nicht bereinigter Output, der ohne Escaping im DOM gerendert wird.
• Nicht-allowlistete Redirects und Callbacks: OAuth- oder Post-Login-Flows, die beliebige URLs akzeptieren.
• Sichtbare oder missbrauchbare Admin-Komponenten: Administrative Funktionen, die im Interface versteckt, aber über APIs ohne serverseitige Kontrolle zugänglich sind.

Diese Risiken müssen immer mit dem konkreten Perimeter der Anwendung verknüpft werden. Eine App, die externen Benutzern ausgesetzt ist, erfordert manuelle Anwendungstests; eine kritische Codeänderung erfordert ein Review; ein interner Workflow erfordert die Kontrolle von Berechtigungen und Anmeldeinformationen; eine agentische App erfordert Tests von Prompts, Tool-Calls und Outputs. Die richtige Kombination hängt von der Auswirkung ab, nicht vom Namen des Tools, das zur Codegenerierung verwendet wurde.

Operative Checkliste vor dem Go-Live

• Benutzer, Rollen, echte Daten, Integrationen, Umgebungen und Service-Owner abbilden.
• Identifizieren, welche Teile mit KI generiert oder modifiziert wurden und wer sie überprüft hat.
• Serverseitige Autorisierungen, Mandantentrennung (Tenant Isolation) und administrative Funktionen verifizieren.
• Nach Geheimnissen in Code, Prompts, Logs, Umgebungsvariablen, Builds und Repository-Historie suchen.
• Abhängigkeiten, Lizenzen, Pakete, Vorlagen, Plugins und generierte Komponenten prüfen.
• Feindliche Eingaben, Fehlerbehandlung, Logging, Rate-Limiting und unerwartete Pfade testen.
• Blockierende Fixes, geplante Sanierungen und akzeptierte Restrisiken trennen.
• Tests oder Retests nach Korrekturen durchführen, die kritische Abläufe betreffen.

Wann eine unabhängige Überprüfung erforderlich ist

Eine unabhängige Überprüfung ist erforderlich, wenn die App oder der Workflow echte Daten, externe Benutzer, Rollen, APIs, Unternehmensintegrationen, Zahlungen, Speicher, automatische Workflows oder kritischen, mit KI generierten Code verarbeitet. Sie ist auch dann notwendig, wenn das Team nicht nachweisen kann, welche Teile überprüft wurden und welche Kontrollen Regressionen oder Missbrauch verhindern.

In diesen Fällen umfasst der von ISGroup empfohlene Perimeter das Web Application Penetration Testing, um das Verhalten der exponierten App zu überprüfen, sowie das Code Review zur Analyse des generierten Quellcodes. Ein effektives Review ist nicht generisch: Es muss reproduzierbare Ergebnisse, Prioritäten für die Sanierung, Angaben zum Restrisiko und bei Bedarf Retests nach den Korrekturen liefern.

Operative Fragen für Gründer, CTOs und Sicherheitsteams

• Welche echten Daten gelangen in das System und wo werden sie gespeichert, protokolliert oder gesendet?
• Welche Rollen existieren und welche Aktionen sind serverseitig blockiert, nicht nur im Interface?
• Welche Geheimnisse, Token, Webhooks oder Anmeldeinformationen würden den Zugriff auf kritische Systeme ermöglichen?
• Welche Teile wurden von der KI generiert oder modifiziert und welche wurden von einer kompetenten Person überprüft?
• Welche Tests decken Missbrauch, Fehler, verschiedene Rollen und verschiedene Mandanten ab, nicht nur den “Happy Path”?
• Welche Nachweise können Kunden, Audits, dem Einkauf oder der Geschäftsführung vorgelegt werden?

Nützliche weiterführende Informationen

• Sicherheit von Web-Apps, die mit Vercel v0 generiert wurden: Vertieft die spezifischen Risiken der Vercel-Plattform, ohne sich mit dem Fokus dieses Artikels zu überschneiden.
• Code-Review für KI-generierten Code: Leitfaden zur Überprüfung von Code, der von KI-Tools produziert wurde, mit Kriterien und Methodik.
• Authentifizierung und Autorisierung in KI-Apps: Analyse der gängigsten Auth-Muster und der Risiken, wenn die Logik automatisch generiert wird.

FAQ

• Kann generierter Frontend-Code anfällig sein?
• Ja. XSS, Token im Client, falsch konfigurierte CORS, reine Browser-Validierung, unkontrollierte Redirects und API-Missbrauch sind konkrete und dokumentierte Risiken.
• Was darf niemals im Browser stehen?
• Geheimnisse, private Schlüssel, Service-Token, entscheidende Autorisierungslogiken und Daten, die für die Rolle des aktuellen Benutzers nicht erforderlich sind.
• Ist ein Code-Review auch für ein reines Frontend-Projekt erforderlich?
• Ja, wenn das Frontend Authentifizierungsabläufe, API-Aufrufe, personenbezogene Daten, dynamischen Output, Zahlungen oder Integrationen mit externen Systemen verwaltet.
• Wann ist ein WAPT erforderlich?
• Wenn das Interface mit echten Backends oder APIs verbunden ist und von externen Benutzern erreicht werden kann, auch in der Beta- oder Soft-Launch-Phase.
• Wie verhindert man, dass das Mockup zu einem Risiko in der Produktion wird?
• Durch eine klare Trennung von Prototyp und Produktion, das Erzwingen serverseitiger Kontrollen bei jeder sensiblen Operation und die Durchführung von Code-Reviews, bevor echte Daten verbunden werden.

[Callforaction-WAPT-Footer]

Quellen und Referenzen

• OWASP Top 10 2021
• OWASP ASVS
• OWASP Code Review Guide
• NIST SP 800-218 SSDF
• Figma
• Builder.io