AI Kodlama Araçlarına Güvenlik Entegre Edilmezse Tehlikeli: Agentik Çağda Yeni Tehditler Windows

AI Kodlama Araçlarına Güvenlik Entegre Edilmezse Tehlikeli: Agentik Çağda Yeni Tehditler

AI kodlama araçları, agentik geliştirme çağında dört yeni saldırı yüzeyi oluşturuyor. Geleneksel güvenlik önlemleri yetersiz kalırken, güvenliğin doğr

Ox Security, Infosecurity Europe 2024'te yaptığı açıklamada, AI kodlama araçlarının agentik geliştirme çağında ortaya çıkan riskleri azaltmak için güvenliğin doğrudan bu araçlara entegre edilmesi gerektiğini belirtti. Şirketin Saha CTO'su Boaz Barzel, geleneksel uygulama güvenliğinin insan hızındaki teslimat döngüleri için tasarlandığını, ancak AI ajanlarının artık günde yüzlerce kod değişikliğine olanak tanıdığını vurguladı. Bu nedenle güvenliğin artık sonradan eklenen bir özellik olamayacağını ifade etti.

Barzel, 'Güvenlik, boru hattında bir aşama değil, yaratma eyleminin kendisinin bir özelliğidir' diyerek, geleneksel 'shift left' yaklaşımının artık yeterli olmadığını, güvenliğin doğrudan AI ajanının içine taşınması gerektiğini söyledi. AI ajanlarının, geleneksel araçların başa çıkamadığı dört farklı saldırı yüzeyi sunduğunu açıkladı: girdi, araçlar, yürütme ve çıktı. Girdi olarak, geliştiricilerden, üst ajanlardan veya tehdit aktörlerinden gelen talimatlar; araçlar olarak, veri sızdırmak veya komut enjekte etmek için silah haline getirilebilecek MCP sunucuları, modeller ve harici SaaS bağlantıları; yürütme olarak, insan tarafından tetiklenen veya otonom çalışan ajanlar; çıktı olarak ise makine hızında üretilen güvenlik açığı içeren kodlar.

Bu zorluklar, Mythos gibi güçlü modeller sayesinde sömürü süresinin dakikalara düşmesi ve AI araçlarının ürettiği kod hacminin artmasıyla daha da karmaşık hale geliyor. Barzel, uygulama güvenliğini AI çağına uygun hale getirmek için güvenliğin yapı döngüsüne yerleştirilmesi, bağlamsal ve sürekli çalışır olması gerektiğini belirtti. Bu, güvenlik ajanlarının kodlama ajanlarıyla birlikte çalışması, her commit'in pentest edilmesi ve her düzeltmenin otonom olarak gözden geçirilip doğrulanması anlamına geliyor. Sistem, neyin değiştiğini, neyin açığa çıktığını ve hangi riskin getirildiğini anlayarak proaktif olmalı, reaktif değil.

Sistem Güvenliği

Barzel, 'Bu durumda güvenlik bir departman olmaktan çıkar, sistemin bir davranışı haline gelir' dedi. Hedef, güvenlik açıklarını çözme süresinin haftalardan saatlere düşmesi, birleştirilen değişiklikler için %100 otonom güvenlik denetimi kapsamı, riskli yolların üretimde erişilebilir olduğu sürenin azaltılması ve çoğu sorunun otonom olarak çözülüp doğrulanması, insanların yalnızca daha karmaşık veya yeni sorunları değerlendirmesi. Mayıs 2026'da keşfedilen Cline Kanban sunucusundaki kritik güvenlik açığı, AI kodlama araçlarının sessizce ele geçirilebileceğini gösterdi.

Barzel, AI ajanlarının dört saldırı yüzeyini detaylandırdı: Girdi, geliştiricilerden veya tehdit aktörlerinden gelen talimatları içeriyor; araçlar, MCP sunucuları, modeller ve harici bağlantılar gibi unsurları kapsıyor; yürütme, insan veya otonom ajanların görünürlük veya hesap verebilirlik olmadan çalışması; çıktı ise makine hızında üretilen güvenlik açığı içeren kodu ifade ediyor. Bu yüzeyler, geleneksel güvenlik araçlarının başa çıkamayacağı karmaşıklıkta.

Önemli Gelişmeler

Ox Security'nin önerisi, güvenliğin AI kodlama araçlarının temel bir parçası haline getirilmesi. Bu, her kod değişikliğinin otomatik olarak test edilmesi, güvenlik açıklarının anında tespit edilip düzeltilmesi ve insan müdahalesinin yalnızca en karmaşık durumlarda gerekmesi anlamına geliyor. Agentik geliştirme çağında, güvenlik artık bir seçenek değil, zorunluluk.

Kaynak: infosecurity-magazine.com

Paylaş: