Yapay Zeka Kodlama Araçlarında Güvenlik Artık Bir Seçenek Değil, Zorunluluk Dünya Geneli

Yapay Zeka Kodlama Araçlarında Güvenlik Artık Bir Seçenek Değil, Zorunluluk

Ox Security, Infosecurity Europe'da AI kodlama araçlarına güvenliğin doğrudan entegre edilmesi gerektiğini savundu. Geleneksel yöntemler, AI ajanların

Ox Security, Infosecurity Europe 2024 etkinliğinde yaptığı açıklamada, yapay zeka (AI) kodlama araçlarının ajan geliştirme (agentic development) çağında ortaya çıkan risklere karşı güvenliğin doğrudan bu araçlara entegre edilmesi gerektiğini vurguladı. Şirketin saha CTO'su Boaz Barzel, 4 Haziran'da yaptığı konuşmada geleneksel uygulama güvenliğinin insan hızındaki teslimatlara göre tasarlandığını belirterek, bu modelin AI ajanlarının sürekli ve hızlı kod değişiklikleri karşısında yetersiz kaldığını ifade etti.

Barzel, geleneksel güvenlik yaklaşımında aylık teslimat döngüsünün sonunda sızma testi (penetration test) yapıldığını, ancak AI ajanlarının günde yüzlerce kod değişikliğine olanak tanıdığını söyledi. Bu nedenle güvenliğin artık sonradan eklenen bir özellik olmadığını, yaratma eyleminin bir parçası haline gelmesi gerektiğini vurguladı. 'Güvenlik, boru hattında bir aşama değil, yaratma eyleminin bir özelliğidir' diyen Barzel, 'sola kaydırma (shift left) yaklaşımının artık geçerli olmadığını, çünkü kaydırılacak bir 'sol' kalmadığını; güvenliğin doğrudan ajana kaydırılması gerektiğini' ifade etti.

Barzel, AI ajanlarının geleneksel araçların başa çıkamadığı dört farklı saldırı yüzeyi oluşturduğunu açıkladı. Bunlar: Giriş (input) - geliştiricilerden, üst düzey ajanlardan veya tehdit aktörlerinden gelen talimatlar; Araçlar (tools) - MCP sunucuları, modeller, beceriler ve dış SaaS bağlantıları; Yürütme (execution) - insan tarafından tetiklenen veya otonom çalışan, görünürlük, denetim ve hesap verebilirlikten yoksun ajanlar; Çıktı (output) - makine hızında üretilen, insan incelemesinden geçmeyen güvenlik açığı içeren kodlar.

Nasıl Önlem Alınmalı?

Bu zorluklar, güçlü sınır modelleri (frontier models) sayesinde sömürü penceresinin daralmasıyla daha da karmaşık hale geliyor. Barzel, 'Mythos' gibi modellerin sömürü süresini dakikalara indirebileceğini belirtti. Ayrıca AI araçlarının ürettiği kod hacminin de bu sorunu büyüttüğünü ekledi. Geleneksel güvenlik yaklaşımları, bu hıza ve hacme yetişmekte zorlanıyor.

Sonuç ve Değerlendirme

Barzel, uygulama güvenliğini AI çağına uygun hale getirmek için güvenliğin inşa döngüsüne (building loop) gömülmesi, bağlamsal olması ve sürekli çalışması gerektiğini söyledi. Bu, güvenlik ajanlarının kodlama ajanlarıyla birlikte çalışması, her commit'in sızma testine tabi tutulması ve her düzeltmenin otonom olarak incelenip onaylanması anlamına geliyor. Sistem, neyin değiştiğini, neyin açığa çıktığını ve hangi riskin getirildiğini akıl yürüterek tahmine dayalı hale geliyor, tepkisel değil.

Detaylar ve Etkileri

Barzel, 'Bu durumda güvenlik bir departman olmaktan çıkar, sistemin bir davranışı haline gelir' dedi. Hedef, güvenlik açıklarını çözme süresinin (MTTR) haftalardan saatlere düşmesi, birleştirilen değişikliklerin %100 otonom güvenlik kontrollerinden geçmesi, üretimde riskli yolların erişilebilir olduğu sürenin azalması ve çoğu sorunun otonom olarak çözülüp doğrulanması, yalnızca karmaşık veya yeni sorunların insan müdahalesi gerektirmesidir. Yeni ajan kodlama riskleri düzenli olarak keşfediliyor; örneğin Mayıs 2026'da Cline Kanban sunucusunda kritik bir güvenlik açığı bulundu ve bu açık, tehdit aktörlerinin AI kodlama araçlarını sessizce ele geçirmesine olanak tanıyabiliyor.

Kaynak: infosecurity-magazine.com

Paylaş: