Bilgi Güvenliği Avrupa: Yapay Zeka Kodlama Araçları, Ajans Geliştirme Çağı için Yerleşik Güvenliğe İhtiyaç Duyuyor Yazılım

Bilgi Güvenliği Avrupa: Yapay Zeka Kodlama Araçları, Ajans Geliştirme Çağı için Yerleşik Güvenliğe İhtiyaç Duyuyor

Ox Security, ajan geliştirmeyle ilişkili ortaya çıkan riskleri azaltmak için güvenliğin doğrudan AI kodlama araçlarına yerleştirilmesi gerektiğini idd...

Ox Security, ajan geliştirmeyle ilişkili ortaya çıkan riskleri azaltmak için güvenliğin doğrudan AI kodlama araçlarına yerleştirilmesi gerektiğini iddia etti.

4 Haziran'da Infosecurity Europe'da konuşan satıcının saha CTO'su Boaz Barzel, geleneksel uygulama güvenliğinin insan hızında teslimat için tasarlandığını açıkladı.

Bu, aylık teslimat döngüsünün sonunda kalem testi anlamına geliyordu. Ancak Barzel, yapay zeka aracılarının artık sürekli bir döngüde günde yüzlerce kod değişikliğine olanak sağladığını, bunun da güvenliğin artık tek başına çözülemeyeceği anlamına geldiğini savundu.

Sonuç ve Değerlendirme

Katılımcılara şunları söyledi: "Buradaki fikir, güvenliğin boru hattındaki bir aşama olmadığı; bizzat yaratma eyleminin bir özelliği olduğudur." "Sola kaymaya çalışıyoruz ama artık geçilecek 'sol' kalmadı. Temsilciye geçmemiz gerekiyor."

Ajansal güvenlik riski hakkında daha fazlasını okuyun: Tehdit Aktörü, EDR Kaçınma Araçları Oluşturmak için Yapay Zekayı Kullanıyor.

Barzel, AI ajanlarının geleneksel araçların üstesinden gelemeyeceği dört farklı saldırı yüzeyi sunduğunu açıkladı:

Girdi: Aracıya giren her türlü talimat (örn. istemler, yönergeler, protokoller) – geliştiricilerden, üst düzey aracılardan veya tehdit aktörlerinden gelsin

Önemli Gelişmeler

Araçlar: Verileri dışarı çıkarmak, talimatları enjekte etmek veya yatay olarak döndürmek için silah haline getirilebilecek MCP sunucuları, modeller, beceriler ve harici SaaS bağlantıları (gölge ve yetkili)

Yürütme: Görünürlük, yaptırım veya hesap verebilirlik olmadan çalışan, hem insan tarafından tetiklenen hem de otonom aracılar

Çıktı: Aracıyı insan incelemesi olmadan makine hızında bırakan savunmasız veya yıkıcı kod (örneğin, yol geçişi, enjeksiyon, arka kapılar, sızma mantığı)

Nasıl Önlem Alınmalı?

Bu zorluklar, kullanım süresini dakikalara indirebilen Mythos gibi güçlü sınır modelleri sayesinde kullanım penceresinin çökmesiyle daha da artıyor. Ve yapay zeka araçlarının oluşturabileceği kod hacminin büyüklüğü sayesinde.

Teknik Analiz

Otomatik Pentest Döngüsünü Anlamak

Barzel, Appec'i ajansal yapay zeka çağına uygun hale getirmek için, bağlamsal ve sürekli çalışan bir şekilde oluşturma döngüsüne yerleştirilmesi gerektiğini söyledi.

Gelecekte Ne Bekleniyor?

Bu, güvenlik temsilcilerinin kodlama aracılarıyla birlikte çalıştığı, her taahhüdün test edildiği ve her düzeltmenin bağımsız olarak incelenip doğrulandığı anlamına gelir. Sistemin neyin değiştiğine, neyin açığa çıktığına ve hangi riske yol açtığına dair mantık yürüttüğünü, böylece tepkisel değil öngörücü olduğunu açıkladı.

Barzel, "Bu durumda güvenlik bir departman olmaktan çıkıyor ve sistemin bir davranışı haline geliyor" diye ekledi.

Sistem Güvenliği

Ortalama çözüm süresi (MTTR) güvenlik açıklarının haftalardan saatlere inmesi

Birleştirilmiş değişiklikler için %100 otonom güvenlik kontrolleri kapsamı

Detaylar ve Etkileri

Üretimde, bilinen bir riskli yola geçiş yapılmadan veya sabitlenmeden önce ulaşılabilir olma süresinin azaltılması

İnsanların yalnızca daha karmaşık veya yeni sorunları değerlendirmeleri gerektiğinden çoğu sorun bağımsız olarak düzeltilecek ve doğrulanacak

Uzmanların Görüşleri

Yeni ajansal kodlama riskleri düzenli olarak ortaya çıkarılmaktadır. Örneğin Mayıs 2026'da Cline Kanban sunucusunda, tehdit aktörlerinin yapay zeka kodlama araçlarını sessizce ele geçirmesine olanak verebilecek kritik bir güvenlik açığı keşfedildi.

Paylaş: