Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
AI tarafından oluşturulan kodun sağlam güvenlik incelemeleri gerekli, çalışma
Mathew J. Schwartz (Euroinfosec) •
5 Eylül 2025
Genler sihir dilekleri verebilir, ancak sonuçlarla gelirler.
Ayrıca bakınız: Ping Kimliği: Her Dijital Ana Güven
Yapay zeka kodlama asistanları kolayca kodun ince havadan görünmesini sağlamaya hazır bir djinn gibi görünebilir. Google ve Microsoft, yeni kodlarının üçte birinin artık AI tarafından üretildiğini ve birden fazla şirketin geliştiricilerinin AI araçlarını kullanmasını güçlü bir şekilde cesaretlendirdiğini veya zorunlu kıldığını bildiriyor.
Birçok geliştirici, GitHub kod depoları üzerinde eğitilmiş büyük bir dil modeli olan GitHub Copilot gibi kodlama asistanlarına veya Visual Studio üzerine inşa edilmiş AI destekli, entegre bir kod geliştirme ortamı olan imleç AI.
Başka bir büyüyen alan, Antropic’in Claude kodu ve Openai’nin Codex CLI gibi AI komut satırı etkileşimleri araçlarını içerir. Bunlar “ajan olarak olma eğilimindedir – yani komutlar yürütebilirler, birden fazla dosya düzenleyebilirler, sürüm kontrolü kullanabilirler – esasen terminali nasıl kullanacağını bilen bir genç geliştirici gibi davranırlar,” dedi Londra merkezli yazılım geliştiricisi uzmanı Roberto Infante, “AI Agents and Applications” ın yazarı bir blog yazısında.
Bu tür araçları kullanmak için iş sürücüsünün ifade edilmesi kolaydır: hız. Bu yılın başlarında, birçok kuruluş bu tür araçlar sayesinde geliştirici verimliliğinde% 50’lik bir artış olduğunu bildiriyordu.
APIIRO tarafından yapılan yeni bir çalışma, AI kodu asistanlarının geliştiricilerin kod kodunu dört kat daha hızlı bir şekilde göndermelerine yardımcı olduklarını tespit ederek, son kazanımların daha da büyük olduğunu gösteriyor. Bu, dünyanın en büyük halka açık şirketlerinden bazılarında, on binlerce kod deposundan oluşan binlerce geliştirici tarafından kullanılan kod tabanlarını gözden geçirmesine dayanmaktadır.
Ancak bu hız bir maliyetle geliyor. Daha fazla kod, kod test ortamından ayrılmadan ve üretime girmeden önce, ortadan kaldırılması gereken daha fazla güvenlik açığı anlamına gelir.
Güvenlik açıklarındaki artışın nedeni, kod asistanı LLM’lerin gerçek dünya geliştiricilerinin yaptıklarını taklit etmek için eğitilmiş olmasıdır. Sonuç olarak, Mayıs ayında RSAC Konferansı 2025’teki bir röportajda, Veracode’de kurucu ortağı ve baş güvenlik evanjelisti Chris Wysopal, klasik olarak inşa edilmiş kodla kabaca aynı miktarda güvenlik açığı içeren kod üretiyorlar.
İroni not ederek, “benim için tek çözüm, kötü kodu tespit etmek için başka bir araç eğiterek daha fazla AI kullanmaktır” dedi, bu nedenle esasen bir diğerini düzeltmek için AI özellikli bir araç kullanarak (bkz:: AI’nın güvenli kod geliştirme üzerindeki etkisini açma).
Yeni araştırmalar, geliştiriciler olarak eşit sayıda güvenlik açığı yaratmanın yanı sıra, AI kod asistanlarının da daha büyük sorunlar getirebileceğini göstermektedir.
Daha büyük çekme istekleri
Bir zorluk, AI kodlama asistanlarının kodlarını nasıl paketleme eğiliminde olduğu şeklinde gelir. Isırık boyutu parçaları sunmak yerine, genellikle ana proje deposuna taşınmak için daha büyük kod çekme istekleri sunarlar.
Apiiro, AI kod asistanlarının AI olmayan kod asistanlarından daha fazla kod taahhüdünün üç ila dört kat daha fazla kod taahhüdü verdiğini gördü, ancak daha az çekme isteği paketliyor.
Sorun, daha büyük PR’lerin doğası gereği daha riskli ve doğrulamak için daha fazla zaman alıcı olmasıdır.
Apiiro ürün müdürü Itay Nussbaum, “Daha büyük, çok dokunuşlu PRS yavaş inceleme, incelemecinin dikkatini sulandırın ve ince bir kırılma olasılığını artırdı.” Dedi. “Bir durumda, tek bir AI güdümlü PR, birden fazla hizmette bir yetkilendirme üstbilgisini değiştirdi. Bir aşağı akış hizmeti güncellenmedi. Sonuç: Dahili uç noktaları ortaya çıkarabilecek sessiz bir auth hatası.”
Küçük kusurlar aşağı, büyük problemler
Yapay zeka kodu asistanları, üretkenliğin ötesinde kullanmanın tersi, nokta kolay kusurları ortadan kaldırmada iyi görünmeleridir. Nussbaum, “Analizimiz, AI tarafından yazılmış koddaki önemsiz sözdizimi hatalarının%76 oranında düştüğünü ve mantık hataları%60’tan fazla düştüğünü gösteriyor.” Dedi.
Aynı zamanda, araçlar mimari kusurlarda% 150 artış ve ayrıcalık sorunlarında% 300 artış şeklinde daha derin problemler yarattı.
Nussbaum, “Bunlar tarayıcıların özledikleri ve yorumcuların tespit etmek için mücadele ettiği sorunlardır – kırık otoriter akışları, güvensiz tasarımlar, sistemik zayıflıklar.” Dedi. “Başka bir deyişle, AI yazım hatalarını düzeltir, ancak zaman bombaları yaratır.”
Araçlar ayrıca bulut kimlik bilgilerini sızma eğilimindedir. Nussbaum, “Analizimiz, AI destekli geliştiricilerin Azure Hizmet Müdürleri ve depolama erişim anahtarlarını AI olmayan akranlarının neredeyse iki katı olarak maruz bıraktığını buldu.” Dedi. “Testte yakalanabilecek bir hatadan farklı olarak, sızdırılmış bir anahtar canlı erişimdir: üretim bulut altyapısına anında bir yol.”
Wysopal gibi, Nussbaum da AI kodlama asistanlarını kullanan kuruluşların yetkisinin açık olması gerektiğini söyledi: “AI kodlamasını zorunlu kılıyorsanız, AI AppSec’i paralel olarak zorunlu kılmalısınız. Aksi takdirde, verimliliği ölçeklendirdiğiniz aynı hızda riski ölçeklendiriyorsunuz.”
Başka bir deyişle, ne istediğinize dikkat edin.