Ox Security, Infosecurity Europe 2024’te yaptığı açıklamada, AI kodlama araçlarının agentik geliştirme çağında ortaya çıkan riskleri azaltmak için güvenliğin doğrudan bu araçlara entegre edilmesi gerektiğini vurguladı. Şirketin Field CTO’su Boaz Barzel, geleneksel uygulama güvenliğinin insan hızındaki teslimatlara göre tasarlandığını, ancak AI ajanlarının artık günde yüzlerce kod değişikliği yapabildiğini belirtti. Bu nedenle güvenliğin artık sonradan eklenen bir özellik değil, yaratma eyleminin kendisinin bir parçası olması gerektiğini ifade etti.
Barzel, AI ajanlarının geleneksel araçların başa çıkamadığı dört farklı saldırı yüzeyi oluşturduğunu açıkladı: Girdi (ajanın aldığı talimatlar, promptlar ve protokoller), Araçlar (MCP sunucuları, modeller, yetenekler ve harici SaaS bağlantıları), Yürütme (görünürlük veya hesap verebilirlik olmadan çalışan otonom ajanlar) ve Çıktı (insan incelemesi olmadan makine hızında üretilen güvenlik açığı içeren kod). Ayrıca, Mythos gibi güçlü modeller sayesinde istismar süresinin dakikalara düştüğünü ve AI araçlarının ürettiği kod hacminin bu zorlukları daha da artırdığını söyledi.
AppSec’i agentik AI çağına uygun hale getirmek için güvenliğin kodlama döngüsüne gömülü, bağlamsal ve sürekli çalışan bir yapıda olması gerektiğini vurgulayan Barzel, güvenlik ajanlarının kodlama ajanlarıyla birlikte çalışması, her commit’in pentest edilmesi ve her düzeltmenin otonom olarak doğrulanması gerektiğini belirtti. Bu sistem, neyin değiştiğini, neyin açığa çıktığını ve hangi riskin oluştuğunu anlayarak proaktif bir güvenlik sağlıyor.
Ox Security’nin hedefi, güvenlik açıklarının çözüm süresini haftalardan saatlere indirmek, birleştirilen değişikliklerin %100’ünü otonom güvenlik kontrollerinden geçirmek ve bilinen riskli yolların üretimde erişilebilir olduğu süreyi azaltmak. Çoğu sorunun otonom olarak düzeltilip doğrulanması, yalnızca karmaşık veya yeni sorunlar için insan müdahalesi gerekmesi öngörülüyor. Örneğin, Mayıs 2026’da Cline Kanban sunucusunda keşfedilen kritik bir güvenlik açığı, tehdit aktörlerinin AI kodlama araçlarını sessizce ele geçirmesine olanak tanıyabilirdi, bu da entegre güvenliğin önemini bir kez daha ortaya koyuyor.