Senior-Developer-Skills aus der KI: Wie Claude Code Sicherheitslücken findet – und selbstständig repariert

„KI erzeugt nur schlechten, unsicheren Code.“
Kaum ein Argument wird in Entwicklerkreisen – insbesondere auf LinkedIn – derzeit häufiger bemüht. In einem neuen Video auf seinem Kanal Promptgeflüster nimmt Alexander Weipprecht diese Kritik direkt auseinander und testet ein neues Feature von Claude Code: Skills.

Das Ziel: Nicht „Vibe Coding“ ohne Kontrolle, sondern KI als hochspezialisierter Senior Developer, der Code auditieren, Sicherheitslücken finden und diese sogar eigenständig beheben kann.

Das Ergebnis ist überraschend – und hochrelevant für Unternehmen, Agenturen und Entwicklerteams.

Ausgangspunkt: Der reale Konflikt um Codequalität

Alexander beschreibt ein bekanntes Spannungsfeld:

• Viele KI-kritische Entwickler auditieren heute KI-generierten Code
• Sie finden:
  • SQL-Injections
  • XSS-Lücken
  • unsichere Includes
  • Performance-Probleme
• Das Fazit lautet dann oft pauschal:
  „KI-Code ist Müll.“

Alexander widerspricht nicht vollständig – aber differenziert:

Ja, unkontrolliertes Vibecoding erzeugt unsicheren Code.
Aber genau dieses Problem lässt sich systematisch mit KI selbst lösen.

Der Schlüssel dafür: Skills.

Was sind „Skills“ in Claude Code?

Skills sind vordefinierte, spezialisierte Rollen, die sich wie extrem fokussierte Experten verhalten. Anders als klassische Prompts sind sie:

• dauerhaft definiert
• wiederverwendbar
• hochspezialisiert
• klar auf Aufgaben trainiert (Audit, Refactoring, Performance, Security)

Alexander nutzt Claude Opus 4.5, um sich einen ganz bestimmten Skill bauen zu lassen:

Ein Senior-Developer-Skill mit 20 Jahren Erfahrung.

Der getestete Skill: „Senior Code Audit“

Der Audit-Skill wird so definiert, als wäre er ein erfahrener Staff Engineer:

Profil des Skills

• 15–20 Jahre Berufserfahrung
• PHP, JavaScript, MySQL
• Verantwortung für Produktivsysteme mit Millionen Usern
• Fokus auf:
  • Security
  • Performance
  • Architektur
  • Wartbarkeit

Was der Skill prüft

• SQL Injection
• Cross-Site Scripting (XSS)
• File Inclusion
• Command Injection (eval, exec)
• unsichere Variablen
• verdächtige Code-Patterns
• Performance-Bremsen
• strukturelle Schwächen

Der Testaufbau: Bewusst „kaputter“ Code

Um den Skill realistisch zu testen, geht Alexander einen konsequenten Schritt:

1. Er erzeugt eine PHP-Datei mit absichtlich extrem vielen Fehlern
2. Rund 300 Zeilen „Horror-Code“
3. Enthalten sind:

• • unsichere SQL-Statements
  • eval()-Aufrufe
  • XSS-Lücken
  • schlechte Architektur
  • Performance-Probleme

Dann lässt er den Senior Audit Skill darüber laufen.

Ergebnis 1: Der Audit-Report

Der Skill reagiert sofort mit einem strukturierten Bericht:

• Kritisch – sofort fixen
• Hoch – diese Woche beheben
• Mittel / Niedrig – später

Besonders bemerkenswert:

• Die Sicherheitsprobleme werden korrekt klassifiziert
• Es wird nicht nur „gemeckert“, sondern priorisiert
• Der Skill fragt aktiv:

„Soll ich den Refactor-Skill starten, um die kritischen Issues zu beheben?“

Damit trennt Claude Code sauber zwischen:

• Audit (Analyse)
• Refactoring (Eingriff)

Ein Prinzip, das man aus professionellen Code-Reviews kennt.

Ergebnis 2: Automatisches Refactoring

Alexander startet nun den Senior Refactor Skill.

Dieser:

• entfernt gefährliche eval()-Aufrufe
• ersetzt unsichere SQL-Zugriffe
• behebt Command Injections
• strukturiert Code sicherer
• ohne manuelles Eingreifen

Das Entscheidende:
Die KI repariert gezielt – nicht blind.

Nach dem Refactoring ist die Datei:

• sicherer
• stabiler
• produktionsnäher

Der entscheidende Moment: Der Audit-Loop

Jetzt kommt der eigentliche Gamechanger.

Alexander lässt nach dem Refactoring erneut den Audit-Skill laufen.

Das Ergebnis:

• nur noch wenige Hinweise
• Security Score: gut
• Performance Score: 70/100
• Code Quality: 65/100

Damit wird ein professioneller Workflow sichtbar:

Der ideale KI-Loop

1. Audit
2. Refactor
3. Re-Audit
4. ggf. erneut verbessern
   → bis keine kritischen Findings mehr existieren

So arbeiten auch Senior-Teams – nur hier automatisiert.

Warum Skills mehr sind als „Linting“

Alexander grenzt Skills klar von klassischen Tools ab:

• kein simples Linting
• kein reines Regelwerk
• kontextbewusste Analyse
• priorisierte Bewertung
• Architektursicht
• Sicherheitsverständnis

Wichtig:
Der Skill wird nicht explizit per Befehl gestartet – Claude Code ruft ihn intern automatisch auf, sobald er den Code liest. Das zeigt, wie tief Skills ins System integriert sind.

Der wirtschaftliche Aspekt: Zeit & Geld

Alexander bringt es auf den Punkt:

„Was ich früher manuell gemacht habe – in Minuten oder Stunden –
macht der Skill jetzt in Sekunden.“

Die provokante, aber berechtigte Frage:

• Ist ein manuell geschriebener Code wirklich „besser“,
  wenn er 1 Stunde dauert,
• während die KI in 1–2 Sekunden zu 98 % dasselbe Ergebnis liefert?

Gerade im wirtschaftlichen Kontext zählt:

• Time-to-Market
• Sicherheit
• Skalierbarkeit

Nicht akademische Perfektion.

Einordnung: KI als Qualitätsverstärker, nicht als Ersatz

Der Test zeigt sehr deutlich:

• KI ersetzt nicht Verständnis
• KI ersetzt nicht Verantwortung
• aber KI kann:
  • Sicherheitsstandards erhöhen
  • Code Reviews standardisieren
  • Teams vereinheitlichen
  • menschliche Fehler reduzieren

Gerade für Teams eröffnen Skills neue Möglichkeiten:

• zentrale Code-Guidelines
• einheitliche Security-Standards
• automatisierte Audits vor Deployments
• Nachauditierung von Legacy-Code

Fazit: Skills sind kein Spielzeug – sondern ein ernstzunehmendes Werkzeug

Dieser Test zeigt eindrucksvoll:

• KI erzeugt nicht automatisch schlechten Code
• unkontrollierte Nutzung erzeugt schlechten Code
• Skills + klare Regeln erzeugen bessere Ergebnisse als viele manuelle Prozesse

Für Alexander ist klar:

Wer behauptet, KI bringe keinen Mehrwert,
ignoriert Werkzeuge wie Skills – oder hat sie nie ernsthaft getestet.

📺 Mehr Praxis-Tests auf YouTube
Wenn du weitere reale Experimente zu KI-gestützter Softwareentwicklung, Code-Audits, Tool-Vergleichen und neuen Claude-Code-Features sehen willst:
Auf dem YouTube-Kanal „Promptgeflüster“ von Alexander Weipprecht erscheinen regelmäßig neue Videos – inklusive ehrlicher Tests, Repo-Links und klarer Einordnung aus der Praxis.

Erfahrungen und Meinungen

Die neue Funktion von Claude Code, die Sicherheitslücken erkennt und selbstständig repariert, polarisiert die Nutzer. Viele Anwender berichten von positiven Erfahrungen. Sie loben die Fähigkeit der KI, Code zu auditieren und Sicherheitsprobleme proaktiv zu lösen. In Tests zeigt sich, dass Claude in der Lage ist, komplexe Probleme zu analysieren und Lösungen anzubieten.

Ein typisches Szenario: Entwickler nutzen Claude, um bestehenden Code auf Sicherheitslücken zu prüfen. Die KI identifiziert Schwachstellen, die menschliche Entwickler möglicherweise übersehen. Dies spart Zeit und reduziert das Risiko von Sicherheitsvorfällen. Ein Nutzer hebt hervor, dass die Effizienz der KI im Vergleich zu manuellen Prüfungen erheblich höher ist.

Positive Rückmeldungen

Die Nutzer schätzen vor allem die Benutzerfreundlichkeit von Claude. Wiederholt wird erwähnt, dass die KI präzise Anweisungen umsetzt und Lösungen schnell bereitstellt. In Erfahrungsberichten wird darauf hingewiesen, dass Claude oft besser performt als andere KI-Tools wie ChatGPT.

Die Möglichkeit, Code automatisch zu reparieren, wird als großer Vorteil angesehen. Entwickler können sich auf wichtigere Aufgaben konzentrieren, während Claude Routinearbeiten übernimmt. Einige Anwender berichten von einer spürbaren Effizienzsteigerung in ihrem Arbeitsalltag.

Kritische Stimmen

FAQ zu Senior-Developer-Skills in der KI