Yapay Zeka ve Makine Öğrenimi, Yeni Nesil Teknolojiler ve Güvenli Geliştirme
Genai Güvensiz Kod seçiyor neredeyse yarısı, Veracode buluyor
Rashmi Ramesh (Rashmiramesh_) •
1 Ağustos 2025
Yapay zeka bugünün kodundan daha fazlasını yazıyor olabilir, ancak aynı zamanda güvenlik açıklarında da yazıyor. Araştırmacılar, büyük dil modellerinin güvenli kod görevlerini tamamlaması istendiğinde test vakalarının neredeyse yarısında güvenlik açıkları getirdiğini söylüyor.
Ayrıca bakınız: Ping Kimliği: Her Dijital Ana Güven
Uygulama güvenlik şirketi Veracode’un bir raporu, AI modellerinin temel güvenlik kararlarını ne kadar iyi ele aldıklarında çok az iyileşme olduğunu söylüyor.
AI modelleri sözdizimsel olarak doğru kod yazmada daha iyi hale geliyor, ancak güvenli kod yazmada değil. Veracode CTO Jens Wessling, Bilgi Güvenlik Medya Grubuna verdiği demeçte, “LLM’ler yazılım geliştirmek için harika araçlardır, ancak kör inanç gitmenin yolu değil.”
Veracode, SQL enjeksiyonu, kriptografik zayıflıklar, siteler arası komut dosyası ve günlük enjeksiyonu dahil olmak üzere, iyi kurulmuş ortak zayıflık sayımı sınıflandırmalarından çizilen 80 küratörlü kodlama görevini analiz etti, her biri OWASP Top 10’da sıralanan riskleri temsil eden Veracode, bu görevlerde 100 llm üzerinde test edilen Veracode, bu görevler üzerinde 100 llm üzerinde test edilen, statik analiz kullanılarak test edilen statik analiz kullanılarak analiz etti. Sonuçlar birçok güvenlik ekibinin şüphelendiğini doğrulamaktadır: Genai kalkınma hızını dönüştürmektedir, ancak risk söz konusu olduğunda henüz güvenilir değildir.
Wessling, model boyutunun ve karmaşıklığının daha güvenli çıktı ile ilişkili olmadığını söyledi. “Küçük, orta ve büyük LLM’ler arasındaki güvenlik performansındaki ortalama fark%2’den azdı” dedi. Bu, sorunun bir ölçeklendirme sorunu değil, sistemik bir sorun olduğu anlamına geliyor.
Java, en kötü performans gösteren dildi, LLM’ler vakaların% 70’inden fazlasında güvensiz kod üretti. Wessling, Java’nın uzun tarihinin muhtemel bir katkıda bulunduğunu söyledi. “Halka açık eğitim verilerinin en büyük hacminden birine sahiptir ve bunların çoğu test ettiğimiz CWE’lerin farkındalığından önce gelir” dedi. Python, C# ve JavaScript% 38 ile% 45 arasında güvenlik hatası oranları yayınladı.
En kötü zayıflıklar daha geniş bağlam gerektiren alanlarda idi. LLM’ler, zamanın% 80’i civarında kriptografik sorunlardan ve SQL enjeksiyon güvenlik açıklarından kaçındı, ancak yaklaşık% 10 başarı oranı ile günlük enjeksiyonu ve siteler arası komut dosyalarında önemli ölçüde başarısız oldular. Wessling, “Bir günlük mesajının lekeli olup olmadığını bilmek, verilerin nereden geldiğini ve neyi içerdiğini anlamayı gerektirir.” Dedi. Bu bağlam LLM’lerin akıl yürütmesi zor.
Araştırmacılar, geliştiricilerin tasarım seçeneklerini açıkça tanımlamadan kod üretmek için AI araçlarına güvendiği bir uygulama olan “vibe kodlama” çıktısını test ettiler. Geliştiriciler genellikle bu kararları modele etkili bir şekilde devreden güvenlik kısıtlamalarını belirtmezler. Çalışma, modellerin zamanın% 45’i güvensiz bir yol seçtiğini göstermektedir.
Bazı satıcılar LLMS’yi daha dikkatli bir şekilde yönlendirmenin sonuçları iyileştirebileceğini öne sürdü, ancak Wessling şüpheci. Wessling, “Bu testleri bu çalışmanın bir parçası olarak çalıştırmadık,” dedi.
Saldırganlar ayrıca güvenlik açıklarını tanımlamak ve kullanmak için AI araçlarını da kullanabilirler, raporda, özellikle daha az vasıflı saldırganların giriş engelinin düştüğü ve saldırıların hızı ve karmaşıklığı arttığından.
Ancak Wessling, LLMS’yi düşman olarak görmüyor. Sorumlu kullanılırsa, güvenli gelişimin geleceğinin kritik bir parçası olduklarını söyledi. Bu, LLM’lerin kaçırdığı şeyleri yakalayabilecek AI güdümlü iyileştirme araçlarını içerir. Rapor, kod üretimi tarafından getirilen güvenlik açıklarına odaklanıyor, ancak LLM kullanımının statik analiz, yazılım kompozisyon analizi ve aracı iş akışlarına entegre edilmiş paket güvenlik duvarları ile eşleştirilmesi de dahil olmak üzere bu riskleri azaltmak için bazı stratejileri de özetliyor. Veracode, politika otomasyonu ve korkulukları doğrudan geliştirme boru hatlarına yerleştirerek güvenli kodlama standartlarının uygulanmasını önerir.
Wessling’in görüşüne göre, bu sadece araçları geliştirmek değil, etraflarında doğru güvenlik duruşunu oluşturmakla ilgili. “Herhangi bir yazılım işletmesi için tarama ve iyileştirme etrafında sağlam güvenlik politikalarına sahip olmak kritiktir ve LLM tarafından oluşturulan kod bir istisna değildir” dedi.
Kiralanmamış LLM’lerin gözetim olmadan güvenli kod yazmak için güvenilip güvenemeyeceği konusunda Wessling, “eğilim devam ederse, kurulmamış LLM’lerin doğrulama olmadan güvenilebilecek yazılımlar üretmesi olası değildir.” Dedi.