Yapay Zekânın Yazdığı Koda Körü Körüne Güvenmeyin

0 2 dakika okuma süresi

yapay zek nin yazdigi koda koru korune guvenmeyin

Yapay zekâ destekli kodlama araçlarının süratle yaygınlaştığı günümüzde, geliştiriciler ortasında popülerleşen bu sistemlerin güvenliği önemli biçimde sorgulanıyor. Kısa müddette sonuç üretme avantajı nedeniyle sıkça tercih edilen büyük lisan modelleri (LLM), verimlilik sunsalar da art planda önemli güvenlik açıkları taşıyabiliyor.

Veracode’un paylaştığı kapsamlı bir rapora nazaran, yapay zekâ modellerince yazılan kodların yaklaşık yarısında güvenlik zafiyetlerine rastlanıyor. Kodlama dünyasında “vibe coding” akımı yükselirken, bu “havalı” sistemlerin perde gerisinde önemli riskler barınıyor.

Yarıdan Fazlası İnançsız Kod Üretiyor

Veracode’un gerçekleştirdiği araştırmada, farklı büyük lisan modelleri 80 başka yazılım geliştirme vazifesinde test edildi. Vazifeler, çeşitli programlama lisanlarında uygulama geliştirme, işlev oluşturma ve güvenlik açısından zayıf noktalar içeren senaryoları kapsıyordu. Lakin sonuçlar, beklenenden epeyce olumsuzdu. Test edilen modellerin sadece %55’i güvenli kod üretmeyi başarabildi.

Geriye kalan %45’lik kısım ise önemli güvenlik açıkları içeriyordu. Bununla birlikte, bu güvenlik açıklarının OWASP (Open Worldwide Application Security Project) tarafından tanımlanan en kritik tehdit sınıfları ortasında bulunduğu ortaya kondu. Yapay zekâ tarafından oluşturulan kodlarda; kırık erişim denetimleri, zayıf kriptografi uygulamaları ve bilgi bütünlüğüne ait sıkıntılar üzere kritik sorunlar sıkça karşımıza çıkıyor. Bu da geliştiricilerin bu kodları direkt sistemlerine entegre etmeleri hâlinde, değerli siber güvenlik tehditleriyle karşılaşabileceklerini gösteriyor.

yapay zek nin yazdigi koda koru korune guvenmeyin 0 E2IQUyFl

Zaman Geçse de Güvenlik Artmıyor

Araştırmanın bir öbür çarpıcı tarafı ise modellerin vakit içinde güvenlik konusunda gelişme kaydetmemiş olması. Kodların sentaksı her ne kadar giderek daha gerçek hale gelse de, güvenliğe dair güzelleşmeler epeyce sonlu kaldı. Yani daha büyük ve gelişmiş modeller dahi daha inançlı kod üretme konusunda önemli bir ivme gösteremedi.

Bu durum, kodlama sürecinde yapay zekâ kullanımının süratle artmasıyla birlikte daha da kritik hâle geliyor. Zira yazılan her yeni satır kod, potansiyel bir akın yüzeyi manasına geliyor. Bu noktada, makus niyetli aktörler de geri kalmıyor.

Yapay Zekâ ile Açık Üretmek ve Bulmak Mümkün

Berkeley Üniversitesi’nin gerçekleştirdiği bir öteki araştırma ise dikkat cazip bir döngüyü ortaya koydu. Yapay zekâ modelleri bir yandan yanlışlı ve açık içeren kodlar üretirken, öbür yapay zekâ sistemleri ise bu açıkları tespit edip sömürmede epey başarılı. Bu da siber güvenliğin AI dayanaklı sistemlerde yeni bir boyut kazandığını gösteriyor.

Bu duruma verilebilecek çarpıcı örneklerden biri, kısa mühlet evvel yaşandı. 404 Media’nın haberine nazaran bir hacker, Amazon’un AI dayanaklı kodlama aracına GitHub üzerinden makus hedefli kodlar enjekte ederek çalıştığı bilgisayarlardaki evrakların silinmesini sağladı. Bu olay, AI sistemlerinin sadece kusur yapmakla kalmayıp, hacker’ların oyun alanına da dönüşebileceğini kanıtladı.

Kodunuzu Gözünüz Kapalı Yayınlamayın

AI takviyeli kodlama araçları, geliştiricilere büyük vakit kazandırıyor. Lakin bu araçlardan çıkan her satırın dikkatle denetim edilmesi gerekiyor. Güvenlik açıkları sırf yazılımın çalışmasını değil, kullanıcı datalarının bütünlüğünü ve sistemin sürdürülebilirliğini de tehdit edebilir.

Yapay zekâ tarafından üretilen kodlar kullanılmadan evvel manuel testler, kod incelemeleri ve güvenlik taramalarının yapılması artık bir gereklilik olarak öne çıkıyor. Aksi takdirde sistemleriniz, siber saldırganların amacı olabilir.

Kaynak: İndir

Etiketler