Ox Security, Infosecurity Europe 2024'te yaptığı açıklamada, yapay zeka destekli kodlama araçlarının agentik geliştirme çağında ortaya çıkan risklere karşı güvenliğin doğrudan bu araçlara entegre edilmesi gerektiğini belirtti. Şirketin saha CTO'su Boaz Barzel, geleneksel uygulama güvenliğinin insan temposundaki teslimata göre tasarlandığını, ancak AI ajanlarının günde yüzlerce kod değişikliği yapabildiğini vurguladı. Bu durumda güvenlik artık bir ek parça değil, yaratma eyleminin bir özelliği haline gelmeli.
Barzel, AI ajanlarının dört farklı saldırı yüzeyi oluşturduğunu açıkladı: girdiler (komutlar, yönergeler), araçlar (MCP sunucular, modeller, harici SaaS bağlantıları), yürütme (insan tetiklemeli veya otonom ajanlar) ve çıktılar (güvenlik açığı içeren kod). Bu yüzeyler, geleneksel araçların başa çıkamayacağı şekilde tasarlanmış. Ayrıca, Mythos gibi güçlü modeller sayesinde istismar süresi dakikalara düşerken, AI araçlarının ürettiği kod hacmi de sorunu büyütüyor.
Uygulama güvenliğini agentik AI çağına uygun hale getirmek için güvenliğin yapı döngüsüne gömülü, bağlamsal ve sürekli çalışması gerektiğini söyleyen Barzel, güvenlik ajanlarının kodlama ajanlarıyla yan yana çalışması gerektiğini belirtti. Her commit'in pentest edilmesi, her düzeltmenin otonom olarak incelenmesi ve doğrulanmasıyla sistem, neyin değiştiğini, neyin açığa çıktığını ve hangi riski getirdiğini akıl yürüterek tahmine dayalı hale geliyor. Böylece güvenlik bir departman olmaktan çıkıp sistemin davranışı oluyor.
Uzmanların Görüşleri
Hedeflenen sonuçlar arasında güvenlik açıklarının çözüm süresinin haftalardan saatlere düşmesi, birleştirilen değişikliklerde %100 otonom güvenlik denetimi, bilinen riskli yolların üretimde erişilebilir olduğu sürenin azalması ve çoğu sorunun otonom olarak düzeltilip doğrulanması yer alıyor. Ayrıca, Mayıs 2026'da Cline Kanban sunucusunda keşfedilen kritik bir güvenlik açığı, tehdit aktörlerinin AI kodlama araçlarını sessizce ele geçirebileceğini gösterdi.