Venafi’ye göre güvenlik liderlerinin %92’si, kuruluşları içerisinde yapay zeka tarafından üretilen kodların kullanımı konusunda endişe duyuyor.
Güvenlik ve geliştirici ekipleri arasında gerginlik
Güvenlik liderlerinin %83’ü geliştiricilerinin şu anda kod üretmek için AI kullandığını söylerken, %57’si bunun yaygın bir uygulama haline geldiğini söylüyor. Ancak, %72’si geliştiricilerin rekabetçi kalmak için AI kullanmalarına izin vermekten başka çareleri olmadığını düşünüyor ve %63’ü güvenlik riskleri nedeniyle kodlamada AI’yı yasaklamayı düşünüyor.
Ankete katılanların %66’sı güvenlik ekiplerinin AI destekli geliştiricilere ayak uyduramadığını bildiriyor. Sonuç olarak, güvenlik liderleri kontrolü kaybettiklerini ve işletmelerin riske atıldığını hissediyor, %78’i AI tarafından geliştirilen kodun bir güvenlik hesaplaşmasına yol açacağına inanıyor ve %59’u AI’nın güvenlik etkileri konusunda uykularını kaybediyor.
Güvenlik liderlerinin %63’ü, AI’nın nerede kullanıldığına dair görünürlükleri olmadığı için kuruluşlarında AI’nın güvenli kullanımını yönetmenin imkansız olduğunu düşünüyor. Endişelere rağmen, şirketlerin %47’sinin geliştirme ortamlarında AI’nın güvenli kullanımını sağlamak için politikaları var.
“Yapay zekanın kod yazdığı yeni bir dünyada güvenlik ekipleri kaya ile sert bir yer arasında sıkışmış durumda. Geliştiriciler zaten yapay zeka tarafından aşırı yüklenmiş durumda ve süper güçlerinden vazgeçmeyecekler. Ve saldırganlar saflarımıza sızıyor – açık kaynaklı projelere uzun vadeli müdahalenin ve Kuzey Kore’nin BT’ye sızmasının son örnekleri buzdağının sadece görünen kısmı,” dedi Venafi’de Baş İnovasyon Sorumlusu Kevin Bocek.
“Bugün LLM derecesine sahip herkes kod yazabilir ve tamamen yeni bir cephe açabilir. Önemli olan koddur, ister geliştiricilerinizin yapay zeka ile hiper kodlama yapması, ister yabancı ajanlara sızması veya finans alanından birinin ne hakkında eğitim aldığını bilmeyen bir LLM’den kod alması olsun. Yani önemli olan koddur! Kodu nereden gelirse gelsin doğrulamamız gerekiyor,” diye ekledi Bocek.
Güvenlik liderleri arasında yapay zeka tarafından oluşturulan kodlara ilişkin temel endişeler
Geliştiricilerin kod yazmak veya üretmek için yapay zekayı kullanmasıyla ilgili belirli endişelere bakıldığında, güvenlik liderleri üç temel endişeyi dile getirdi:
- Geliştiriciler yapay zekaya aşırı bağımlı hale gelecek ve bu da daha düşük standartlara yol açacak
- Yapay zeka tarafından yazılan kod etkili bir şekilde kalite kontrolünden geçirilmeyecek
- Yapay zeka, iyi bakımı yapılmamış, eski açık kaynaklı kütüphaneleri kullanacak
Araştırma ayrıca, yapay zekanın açık kaynak kullanımının güvenlik ekipleri için zorluk yaratabileceğinin tek örneği olmadığını da vurguluyor:
Açık kaynak aşırı yükü: Güvenlik liderleri ortalama olarak uygulamalarının %61’inin açık kaynak kullandığını tahmin ediyor. Açık kaynak koduna bu aşırı bağımlılık, katılımcıların %86’sının geliştiriciler arasında açık kaynak kodunun güvenlik en iyi uygulamasından ziyade hızı teşvik ettiğine inanması göz önüne alındığında potansiyel riskler oluşturabilir.
Can sıkıcı doğrulama: Güvenlik liderlerinin %90’ı açık kaynak kodlu kütüphanelerdeki kodlara güveniyor, %43’ü tam güven duyduklarını söylüyor – ancak %75’i açık kaynak kodlu her satırın güvenliğini doğrulamanın imkansız olduğunu söylüyor. Sonuç olarak, güvenlik liderlerinin %92’si açık kaynak kodlarının güvenilir olduğundan emin olmak için kod imzalama kullanılması gerektiğine inanıyor.
Bocek, “Son CrowdStrike kesintisi, kodun geliştiriciden dünya çapında çöküşe ne kadar hızlı geçtiğinin etkisini gösteriyor,” diye ekliyor. “Kod artık yapay zeka ve yabancı ajanlar dahil her yerden gelebilir. Daha az değil, daha fazla kod kaynağı olacak. Kodu, uygulamaları ve iş yüklerini kimliğine göre doğrulamak, değişmediğinden ve kullanım için onaylandığından emin olmak bugün ve yarın için en iyi şansımız. CrowdStrike kesintisini, geçici bir olay değil, gelecekteki zorlukların mükemmel bir örneği olarak kullanmalıyız.”
Güven kod imzalama zincirinin sürdürülmesi, kuruluşların yetkisiz kod yürütmeyi önlemesine yardımcı olurken, aynı zamanda geliştiricilerin yapay zeka ve açık kaynak teknolojilerini kullanmalarına ayak uyduracak şekilde operasyonlarını ölçeklendirmelerine de yardımcı olabilir.
Bocek, “Yapay zeka ve açık kaynak kodlarının öngörülemez olduğu kadar güçlü olduğu bir dünyada, kod imzalama bir işletmenin temel savunma hattı haline geliyor,” diye sonlandırıyor. “Ancak bu korumanın geçerli olması için, kod imzalama süreci güvenli olduğu kadar güçlü de olmalıdır. Bu sadece kötü amaçlı kodları engellemekle ilgili değil; kuruluşların her kod satırının güvenilir bir kaynaktan geldiğinden, dijital imzaları doğrulayıp imzalandığından beri hiçbir şeyin değiştirilmediğinden emin olması gerekir. İyi haber şu ki, kod imzalama hemen hemen her yerde kullanılıyor; kötü haber ise, onu güvende tutmaya yardımcı olabilecek güvenlik ekipleri tarafından çoğunlukla korumasız bırakılıyor.”