JPMorgan Chase Ciso Patrick Opet, Nisan ayında yazılım tedarikçilerine açık bir mektup yayınladığında, sadece endişelerini dile getirmiyordu – bir alarm veriyordu.
2025 Verizon Veri İhlal Araştırmaları raporundan gelen rakamlar, her güvenlik liderinin uykuyu kaybetmesini sağlamalıdır: İhlallerin% 30’u geçen yıldan ikiye katlanan üçüncü taraf bileşenleri içermektedir. Ama işte gerçekten dikkatinizi çekmesi gereken vurucu: Tedarik zinciri riskindeki bu patlama, tıpkı AI’nın kodumuzun büyük bir bölümünü yazmaya başladığı gibi gerçekleşiyor.
Her CISO’yu korkutması gereken bir örnek Google’dır. Şu anda, AI Google’ın kodunun% 30’unu yazarken, çoğu güvenlik ekibi hala insanların her şeyi yazdığı bir dünya için tasarlanmış araçlara güveniyor. Bu sadece bir boşluk değil, bu bir uçurum.
Endişe nedeni
Büyük dil modelleri, makine öğrenimi modelleri ve üretken yapay zeka, işletmelerin günlük olarak güvendiği birçok uygulamayı oluşturarak yazılım geliştirme ortamını derinden ve giderek daha fazla dönüştürmektedir. MarketSandMarkets’e göre, AI kodlama sektörünün 2024’te yaklaşık 4 milyar dolardan 2028 yılına kadar yaklaşık 13 milyar dolara çıkması bekleniyor. Doğal olarak, bu AI ve yazılım geliştirme evliliği eşi görülmemiş verimlilik kazanımları ve yeni yenilikçi yeteneklere yol açacaktır. Bununla birlikte, bu dikkate değer faydalara rağmen, AI’nın etkisi de özel dikkat gerektiren yeni güvenlik hususlarını da içermektedir.
Bu oyunu daha önce gördük. 20 yılı aşkın güvenlik ekiplerinden enerji ve teknolojiden sonra, her büyük güvenlik evriminin aynı planı takip ettiğini söyleyebilirim: Yeni teknoloji, savunmalarımızın adaptından daha hızlı yeni riskler yaratıyor. AI gelişimi bir istisna değildir.
GitHub Copilot, Codegeex ve Amazon Q geliştiricisi gibi AI kodlama asistanları temelde insan geliştiricilerinden kritik şekillerde farklılık gösterir. En büyüklerinden biri, gelişimsel deneyim, bağlamsal anlayış ve insan yargısı, güvenli kodun savunmasız uygulamalardan ayırt edilmesi konusunda gerekli olan niteliklerden yoksun olmalarıdır.
AI Tools ayrıca, bazıları bilinen güvenlik açıkları, kullanımdan kaldırılmış şifreleme yöntemleri ve modası geçmiş bileşenler içeren geniş tarihsel kod depoları üzerinde eğitim alıyor. Bildiğiniz bir sonraki şey, AI asistanları bu öğeleri statik uygulama güvenlik testi (SAST), Dinamik Uygulama Güvenliği Testi (DAST) ve Yazılım Kompozisyon Analizi (SCA) gibi geleneksel güvenlik araçlarının tespit etmek için tasarlanmadığı yazılım tedarik zinciri güvenlik risklerini tanıtan yeni uygulamalara dahil eder.
Bu araçları yetersiz kılan şey, öncelikle bilinen güvenlik açığı kalıplarına ve bileşen sürümlerine odaklanmalarıdır. Bu araçlar, veri zehirlenmesi saldırıları ve memetik virüsler gibi AI’ye özgü tehditleri etkili bir şekilde değerlendiremez, bu da makine öğrenme modellerini bozabilir ve sömürülebilir kodun oluşmasına yol açabilir. AI güvenlik alanında bazı yeni girişimler olsa da, dosya boyutu ve karmaşıklığı ile ilgili eski çözümlerle benzer sınırlamalara da sahiptirler. Ayrıca bir modeli kötü amaçlı yazılım, kurcalama, formatlardaki serileştirme saldırıları, vb. Gibi tüm potansiyel riskleri için kapsamlı bir şekilde analiz edemezler.
Bu geleneksel güvenlik araçlarının yetersiz kaldığı son bir alan, son, derlenmiş uygulamayı incelemek yerine, geliştirme sırasında kodu analiz etmeleridir. Bu yaklaşım, derleme işlemi sırasında veya AI yardımı yoluyla tanıtılan kötü niyetli değişikliklerin tespit edilmediğinde kör noktalar yaratır. Yazılımın derlenmiş durumunda incelenmesi, yetkisiz veya potansiyel olarak zararlı eklemeleri tanımlamak için gerekli olmuştur.
Sırada ne var?
Kuruluşlar giderek daha fazla yapay zeka kodlama araçlarını dahil ettikçe, güvenlik stratejilerini geliştirmelidirler. Bunun nedeni, AI modellerinin boyut olarak gigabayt olması ve geleneksel araçların işleyemediği karmaşık dosya türleri oluşturabileceğidir. Bu ortaya çıkan riskleri ele almak, aşağıdakileri yapabilen kapsamlı yazılım tedarik zinciri güvenlik önlemlerinin yanı sıra analiz yeteneklerinin yanı sıra analiz yetenekleri gerektirir:
- Geliştirmede kullanılan AI modellerinin provenansının ve bütünlüğünün doğrulanması
- AI Asistanlar tarafından önerilen bileşenlerin ve kodların güvenliğini doğrulamak
- Beklenmedik veya yetkisiz kapanımları tespit etmek için derlenmiş uygulamaların incelenmesi
- Yapay zeka sistemlerini tehlikeye atabilecek potansiyel veri zehirlenmesi için izleme
Yapay zekanın evliliği ve yazılım geliştirme isteğe bağlı değildir – kaçınılmazdır. Patrick Opet, yazılım sağlayıcılarını ve güvenlik uygulayıcılarını yazılım tedarik zincirini hedefleyen yeni tehditleri hızlandırmaya ve ele almaya çağırdığında haklıydı.
Güvenlik stratejilerini, büyük AI modellerinden yaratmaya yardımcı oldukları derlenmiş uygulamalara kadar her şeyi analiz edebilen kapsamlı yazılım tedarik zinciri güvenliği uygulayarak uyarlayan kuruluşlar, gelişecek olanlardır.
Yapmayanlara gelince, gelecek yılki ihlal raporlarında uyarıcı hikayeler olacaklar.
Sasha Pjelalar, Reversinglavs’ın Baş Güven Ofisidir.