Yapay zeka modelleri kod ürettiğinde güvenlik ekiplerine aynı anda güç ve risk sağlar. Bu gerilim, geliştiricilerin ve güvenlik mühendislerinin kod oluşturma tehditlerine karşı savunma yapmasına yardımcı olmak için tasarlanan BlueCodeAgent adlı yeni aracın merkezinde yer alıyor.
Kod oluşturma neden endişe yaratıyor?
Yüksek Lisans’lar, yazılım geliştirmede işlevler, komut dosyaları ve API’ler oluşturma gibi görevler için giderek daha fazla kullanılıyor. Ancak bu sistemler bir kuruluşu yeni risklere maruz bırakabilir. Bir Microsoft blog gönderisi, kod oluşturma modellerinin “yanlışlıkla güvenlik açıkları içeren (örn. enjeksiyon riskleri, güvenli olmayan giriş işleme) savunmasız kodlar üretebileceğini” açıklıyor.
Araştırmacılar, sorunlu kodun yanı sıra, önyargılı veya kötü niyetli talimatların kod oluşturma sistemleri tarafından kabul edilmesi gibi risklerin de altını çiziyor.
BlueCodeAgent geliştiriciler için nasıl geliştirildi?
BlueCodeAgent, kod güvenliğinin savunma tarafını temel misyonu olarak ele alır. Araştırmacılar bunun “LLM’lerin savunma kararlarına rehberlik etmek için otomatik kırmızı ekip süreçlerini, verileri ve güvenlik kurallarını kullanarak kod güvenliğini artırmak için oluşturulmuş uçtan uca bir mavi ekip çerçevesi” olduğunu yazıyor. Bir geliştirici veya güvenlik mühendisi için pratik anlamda bu, BlueCodeAgent’ın iki ana parçayı birleştirdiği anlamına gelir:
- Çeşitli saldırılar ve riskli vakalar oluşturan kırmızı ekip oluşturma hattı. Buna politika tabanlı örnek oluşturma, tohum tabanlı rekabete dayalı istem optimizasyonu ve güvenlik açığına dayalı kod oluşturma dahildir.
- Riski doğrulamak için bu kırmızı testlerden (“anayasalar” olarak adlandırılır) elde edilen bilgilerin yanı sıra oluşturulan kodun yalıtılmış ortamlarda yürütüldüğü dinamik sanal alan tabanlı testlerden elde edilen bilgileri kullanan bir mavi ekip aracısı.
BlueCodeAgent’a Genel Bakış
Araştırmanın bulduğu şey
Microsoft’a göre BlueCodeAgent, üç görevde temel yaklaşımlardan daha iyi performans gösterdi: önyargılı talimatları tespit etmek, kötü niyetli talimatları tespit etmek ve güvenlik açığı bulunan kodları tespit etmek.
Araştırmacılar dört bulguyu vurguluyor:
1. BlueCodeAgent görülen risklerden görünmeyen risklere doğru genelleme yaptı.
2. Farklı temel LLM’lerde (açık kaynak ve ticari) çalışır ve hangi modeli kullanırlarsa kullansınlar geliştiricilere esneklik sağlar.
3. Riski yakalamak ile zararsız kodda aşırı yanlış uyarılardan kaçınmak arasında pratik bir denge kurar.
4. BlueCodeAgent, dinamik testi entegre ederek, savunmasız kod tespitinde bilinen bir sorun olan hatalı pozitifleri (güvenli olmayan olarak işaretlenen güvenli kod) azaltır.
Bunun CISO’lar ve güvenlik mühendisleri için anlamı nedir?
BlueCodeAgent, kod oluşturucu ile geliştirme hattı arasında duran bir savunma katmanı görevi görür. Genel güvenlik istemlerine güvenmek yerine, kırmızı takım testleri tarafından şekillendirilen kurallardan yararlanır ve şüpheli bir sorunun gerçek olup olmadığını doğrulamak için korumalı alan yürütmesini kullanır. Bu yaklaşım, araç yanlış uyarıların sayısını azalttığı için geliştirme ve güvenlik ekiplerinin daha az kesintiyle çalışmasına yardımcı olur. Ayrıca farklı türdeki dil modellerine de uyum sağlar; bu da ekiplerin açık kaynak ve ticari sistemlerin bir karışımını kullandığı ortamlarda onu faydalı kılar.
BlueCodeAgent’ı mevcut iş akışlarına yerleştirerek kuruluşlar, kod üretime geçmeden veya paylaşılan bir kod tabanının parçası haline gelmeden önce başka bir koruma katmanı elde ederler.
Evlat edinmeyle ilgili pratik hususlar
BlueCodeAgent’ı kendi ortamlarına getirmek isteyen ekiplerin, bunun yazılım geliştirme döngüsünde nereye uyacağını düşünmesi gerekir. Yaygın bir yaklaşım, bunu mevcut kod incelemelerine veya CI/CD aşamalarına bağlamaktır, böylece yapay zeka tarafından oluşturulan kod, geliştiriciler için manuel adımlar eklenmeden kontrol edilir. Araç, kodu güvenli bir şekilde çalıştırmak ve bulguları doğrulamak için buna bağlı olduğundan korumalı alan ortamına da dikkat edilmesi gerekir.
Güvenlik ekipleri, sistem yapılarının zaman içinde yararlı kalabilmesi için saldırı düzenleri ve ortak zayıflıklara ilişkin bir bilgi tabanını korumalıdır. İlerlemeyi ölçmek de önemlidir. Tespit doğruluğunun, yanlış pozitiflerin ve yanlış negatiflerin izlenmesi, ekiplerin aracın iş akışlarını nasıl iyileştirdiğini ve ayarlamaların gerekli olup olmadığını anlamasına yardımcı olur.