Güvenlik araştırmacıları, büyük dil modelleri (LLMS) tarafından oluşturulan kodlarda önemli güvenlik açıklarını ortaya çıkardılar, bu da AI asistanları ile “vibe kodlamasının” kritik güvenlik kusurlarını üretim uygulamalarına nasıl getirebileceğini gösterdi.
Yeni bir çalışma, LLM tarafından üretilen kodun genellikle güvenlik üzerindeki işlevselliğe öncelik verdiğini ve basit kıvrımlı komutlarla kullanılabilecek saldırı vektörleri oluşturduğunu ortaya koyuyor.
Key Takeaways
1. LLM-generated code inherits insecure patterns, trading security for functionality.
2. Exposed endpoints enable easy exploits via simple curl commands.
3. Human oversight threat modeling, reviews, and scans is essential.
Güvensiz eğitim verileri
Himanshu Anand, temel sorunun LLM’lerin çoğu kod örneğinin, güvenlik en iyi uygulamalarından ziyade işlevselliği göstermek üzere tasarlandığı internet tarafından yazılmış veriler üzerinde eğitilmesinden kaynaklandığını bildirmektedir.
Geliştiriciler, uygun güvenlik incelemesi olmadan AI tarafından oluşturulan koda büyük ölçüde güvendiklerinde, bu güvensiz kalıplar ölçekte üretim sistemlerinde çoğalır.
Araştırmalar, LLM’lerin iş riskini anlamadığını ve uygun tehdit modellemesi için gereken bağlamsal farkındalıktan yoksun olduğunu göstermektedir.
Eğitim verileri doğal olarak çevrimiçi öğreticilerden, yığın taşma cevaplarından korunmasız kod modelleri ve güvenli tasarıma göre hızlı uygulamaya öncelik veren dokümantasyon örnekleri içerir.
Özellikle ilgili bir dava, demiryolu üzerinde barındırılan bir JavaScript uygulaması içeriyordu[.]Com, tüm e-posta API altyapısının müşteri tarafına maruz kaldığı yer. Savunmasız kod şunları içerir:
Konsept Kanıtı saldırısı
Araştırma, maruz kalan müşteri tarafı API’lerinin nasıl kullanılabileceğini gösteren bir kavram kanıtı saldırısı içeriyor:
Bu basit komut üç kritik saldırı vektörü gösterir:
- Rasgele adresleri hedefleyen e -posta spam kampanyaları
- İkna edici organizasyonel mesajlaşma kullanarak müşteri kimliğine bürünme
- Sahtekarlık Güvenilir Gönderen Adresleri aracılığıyla dahili sistem kötüye kullanımı
Güvenlik açığı, saldırganların amaçlanan web arayüzünü tamamen atlamasına izin vererek, kimlik doğrulama veya hız sınırlaması olmadan doğrudan arka uç hizmetlerine sınırsız istek gönderir.
Araştırma, LLM’lerin güçlü kodlama asistanları olarak hizmet ederken, güvenlik hususları için insan gözetimi gerektirdiğini vurgulamaktadır.
Kuruluşlar, AI tarafından oluşturulan kodu doğrudan üretime göndermek yerine uygun tehdit modelleme, güvenlik incelemeleri ve derinlemesine savunma stratejileri uygulamalıdır.
Güvenlik ekipleri, güvenli kodlama yönergeleri oluşturmaya, LLM tarafından oluşturulan kod için otomatik güvenlik taraması uygulamaya ve bu güvenlik açıklarının sistematik olarak tanıtılmasını önlemek için güvenlik inceleme sürecinde insan uzmanlığını sürdürmeye odaklanmalıdır.
Bu hikayeyi ilginç bul! Daha fazla güncelleme almak için bizi LinkedIn ve X’te takip edin.