Yapay zekâ destekli kodlama araçları, geliştiriciler arasında hızla popülerleşirken, bu sistemlerin güvenliği ciddi bir şekilde sorgulanmaya başlandı. Kısa sürede sonuç üretme avantajı ile sıkça tercih edilen büyük dil modelleri (LLM), sağladıkları verimlilikle dikkat çekse de, arka planda önemli güvenlik açıkları barındırıyor olabilir.
Veracode’un yayımladığı detaylı bir rapora göre, yapay zekâ tarafından yazılan kodların neredeyse yarısında güvenlik zafiyetleri tespit ediliyor. Kodlama dünyasında yükselen “vibe coding” akımı, dışarıdan bakıldığında çekici görünse de, ciddi riskler taşıdığı gözler önüne seriliyor.
Güvenlik Sorunlarıyla Dolu Kodlar
Veracode tarafından gerçekleştirilen araştırmada, çeşitli büyük dil modelleri 80 farklı yazılım geliştirme görevinde test edildi. Bu görevler, çeşitli programlama dillerinde uygulama geliştirme, fonksiyon oluşturma ve güvenlik açısından zayıf noktalar içeren senaryoları kapsıyordu. Ancak sonuçlar, beklenenden oldukça olumsuzdu. Test edilen modellerin yalnızca %55’i güvenli kod üretebildi.
Geriye kalan %45’lik bölüm ise ciddi güvenlik açıkları taşıyordu. Bu açıkların, OWASP (Open Worldwide Application Security Project) tarafından tanımlanan en kritik tehdit sınıfları arasında yer aldığı ortaya çıktı. Yapay zekâ tarafından üretilen kodlarda; kırık erişim kontrolleri, zayıf kriptografi uygulamaları ve veri bütünlüğüne dair sorunlar sıkça görülüyor. Bu durum, geliştiricilerin bu kodları doğrudan sistemlerine entegre etmeleri halinde önemli siber güvenlik tehditleriyle karşılaşabileceklerini gösteriyor.
Zamanla Güvenlik Artışı Gözlemlenmiyor
Araştırmanın dikkat çekici bir diğer yönü ise, modellerin zamanla güvenlik konusunda gelişme kaydetmemiş olması. Kodların sentaksı her ne kadar daha doğru bir hale gelse de, güvenlik açısından iyileşmeler oldukça sınırlı kaldı. Yani daha büyük ve gelişmiş modeller bile güvenli kod üretme konusunda yeterli bir ivme gösteremedi.
Bu durum, yapay zekânın kodlama sürecinde artış göstermesiyle birlikte daha da kritik hale geliyor. Çünkü yazılan her yeni satır, potansiyel bir saldırı yüzeyi oluşturuyor. Bu noktada kötü niyetli kullanıcılar da devreye girmekte.
Yapay Zekâ ile Açık Kod Üretimi
Berkeley Üniversitesi’nin gerçekleştirdiği bir başka araştırma, dikkat çekici bir döngüyü gözler önüne serdi. Yapay zekâ sistemleri bir yandan hatalı ve açık içeren kodlar üretirken, diğer yapay zekâ sistemleri bu açıkları tespit edip sömürmede oldukça başarılı. Bu durum, siber güvenliğin AI destekli sistemlerde yeni bir boyut kazandığını gösteriyor.
Son dönemde yaşanan bir olay da bu durumu pekiştiriyor. 404 Media’nın haberine göre, bir hacker, Amazon’un AI destekli kodlama aracına GitHub üzerinden kötü amaçlı kodlar enjekte ederek çalıştığı bilgisayarlardaki dosyaların silinmesini sağladı. Bu durum, AI sistemlerinin yalnızca hata yapmakla kalmayıp, kötü niyetli kişilerin hedefi olabileceğini kanıtlıyor.
Kodunuzu Gözünüz Kapalı Yayınlamayın
AI destekli kodlama araçları, geliştiricilere büyük zaman kazandırıyor. Ancak bu araçlardan çıkan her satır kodun dikkatlice kontrol edilmesi şart. Güvenlik açıkları, yalnızca yazılımın çalışmasını değil, kullanıcı verilerinin bütünlüğünü ve sistemin sürdürülebilirliğini de tehdit edebilir.
Yapay zekâ tarafından üretilen kodlar kullanılmadan önce manuel testler, kod incelemeleri ve güvenlik taramalarının yapılması artık bir gereklilik haline gelmiştir. Aksi takdirde, sistemleriniz siber saldırganların hedefi olabilir.
