Yapay zekâ destekli kodlama araçlarının hızla yaygınlaştığı günümüzde, geliştiriciler arasında popülerleşen bu sistemlerin güvenliği ciddi şekilde sorgulanıyor. Kısa sürede sonuç üretme avantajı nedeniyle sıkça tercih edilen büyük dil modelleri (LLM), verimlilik sunsalar da arka planda ciddi güvenlik açıkları taşıyabiliyor.
Veracode’un paylaştığı kapsamlı bir rapora göre, yapay zekâ modellerince yazılan kodların yaklaşık yarısında güvenlik zafiyetlerine rastlanıyor. Kodlama dünyasında “vibe coding” akımı yükselirken, bu “havalı” sistemlerin perde arkasında ciddi riskler barınıyor.
Yarıdan Fazlası Güvensiz Kod Üretiyor
Veracode’un gerçekleştirdiği araştırmada, farklı büyük dil modelleri 80 ayrı yazılım geliştirme görevinde test edildi. Görevler, çeşitli programlama dillerinde uygulama geliştirme, fonksiyon oluşturma ve güvenlik açısından zayıf noktalar içeren senaryoları kapsıyordu. Ancak sonuçlar, beklenenden oldukça olumsuzdu. Test edilen modellerin yalnızca %55’i güvenli kod üretmeyi başarabildi.
Geriye kalan %45’lik bölüm ise ciddi güvenlik açıkları içeriyordu. Bununla birlikte, bu güvenlik açıklarının OWASP (Open Worldwide Application Security Project) tarafından tanımlanan en kritik tehdit sınıfları arasında bulunduğu ortaya kondu. Yapay zekâ tarafından oluşturulan kodlarda; kırık erişim kontrolleri, zayıf kriptografi uygulamaları ve veri bütünlüğüne ilişkin sorunlar gibi kritik problemler sıkça karşımıza çıkıyor. Bu da geliştiricilerin bu kodları doğrudan sistemlerine entegre etmeleri hâlinde, önemli siber güvenlik tehditleriyle karşılaşabileceklerini gösteriyor.
Zaman Geçse de Güvenlik Artmıyor
Araştırmanın bir diğer çarpıcı yönü ise modellerin zaman içinde güvenlik konusunda gelişme kaydetmemiş olması. Kodların sentaksı her ne kadar giderek daha doğru hale gelse de, güvenliğe dair iyileşmeler oldukça sınırlı kaldı. Yani daha büyük ve gelişmiş modeller dahi daha güvenli kod üretme konusunda ciddi bir ivme gösteremedi.
Bu durum, kodlama sürecinde yapay zekâ kullanımının hızla artmasıyla birlikte daha da kritik hâle geliyor. Çünkü yazılan her yeni satır kod, potansiyel bir saldırı yüzeyi anlamına geliyor. Bu noktada, kötü niyetli aktörler de geri kalmıyor.
Yapay Zekâ ile Açık Üretmek ve Bulmak Mümkün
Berkeley Üniversitesi’nin gerçekleştirdiği bir diğer araştırma ise dikkat çekici bir döngüyü ortaya koydu. Yapay zekâ modelleri bir yandan hatalı ve açık içeren kodlar üretirken, diğer yapay zekâ sistemleri ise bu açıkları tespit edip sömürmede oldukça başarılı. Bu da siber güvenliğin AI destekli sistemlerde yeni bir boyut kazandığını gösteriyor.
Bu duruma verilebilecek çarpıcı örneklerden biri, kısa süre önce yaşandı. 404 Media’nın haberine göre bir hacker, Amazon’un AI destekli kodlama aracına GitHub üzerinden kötü amaçlı kodlar enjekte ederek çalıştığı bilgisayarlardaki dosyaların silinmesini sağladı. Bu olay, AI sistemlerinin yalnızca hata yapmakla kalmayıp, hacker’ların oyun alanına da dönüşebileceğini kanıtladı.
Kodunuzu Gözünüz Kapalı Yayınlamayın
AI destekli kodlama araçları, geliştiricilere büyük zaman kazandırıyor. Ancak bu araçlardan çıkan her satırın dikkatle kontrol edilmesi gerekiyor. Güvenlik açıkları yalnızca yazılımın çalışmasını değil, kullanıcı verilerinin bütünlüğünü ve sistemin sürdürülebilirliğini de tehdit edebilir.
Yapay zekâ tarafından üretilen kodlar kullanılmadan önce manuel testler, kod incelemeleri ve güvenlik taramalarının yapılması artık bir gereklilik olarak öne çıkıyor. Aksi takdirde sistemleriniz, siber saldırganların hedefi olabilir.
Yorum Yok
İlgili Yazılar
