Tıpkı senin gibi Muhtemelen ekmeğiniz için un yapmak için buğdayı büyütmeyin ve öğütmeyin, çoğu yazılım geliştiricisi yeni bir projede her kod satırını sıfırdan yazmaz. Bunu yapmak son derece yavaş olurdu ve çözdüğünden daha fazla güvenlik sorunu yaratabilir. Böylece geliştiriciler, çeşitli temel yazılım bileşenlerini yerine getirmek için mevcut kütüphanelerden – genellikle açık kaynak projeleri – çekerler.
Bu yaklaşım verimli olsa da, pozlama ve yazılıma görünürlük eksikliği yaratabilir. Bununla birlikte, giderek artan bir şekilde, vibe kodlamasının yükselişi benzer bir şekilde kullanılmaktadır ve geliştiricilerin sıfırdan yazmak yerine basitçe adapte edebilecekleri kodu hızla döndürmelerini sağlar. Güvenlik araştırmacıları, bu yeni takma ve oynatma kodu türünün yazılım-tedarik zinciri güvenliğini daha da karmaşık ve tehlikeli hale getirdiği konusunda uyarıyor.
Bulut güvenlik firması Edera’nın baş teknoloji sorumlusu Alex Zenla, “Şu anda AI’nın güvenlik konusundaki lütuf dönemini kaybetmek üzereyiz” diyor. “Ve AI, güvensiz kod oluşturma açısından kendi en kötü düşmanıdır. AI kısmen orada mevcut olan eski, savunmasız veya düşük kaliteli yazılımlarda eğitiliyorsa, var olan tüm güvenlik açıkları yeni konulardan bahsetmemek için yeniden ortaya çıkabilir ve tekrar tanıtılabilir.”
Potansiyel olarak güvensiz eğitim verilerini emmenin yanı sıra, vibe kodlamanın gerçekliği, belirli bir ürün veya hizmet hakkındaki tüm belirli bağlam ve düşünceleri tam olarak dikkate alamayabilecek kaba bir kod taslağı üretmesidir. Başka bir deyişle, bir şirket bir projenin kaynak kodu ve hedeflerin doğal dil tanımında yerel bir modeli eğitse bile, üretim süreci hala insan gözden geçirenlerin AI tarafından üretilen koddaki olası her kusuru veya uyumsuzluğu tespit etme yeteneğine dayanmaktadır.
“Mühendislik gruplarının vibe kodlama çağındaki geliştirme yaşam döngüsü hakkında düşünmeleri gerekiyor,” diyor Constmarx uygulama güvenlik firmasında araştırmacı Eran Kinsbruner. “Aynı LLM modelinden belirli kaynak kodunuz için yazmasını isterseniz, her seferinde biraz farklı bir çıktıya sahip olacak. Ekip içindeki bir geliştirici bir çıktı üretecek ve diğer geliştirici farklı bir çıktı alacaktır. Böylece açık kaynağın ötesinde ek bir komplikasyon getirecektir.”
CheckMarx Baş Bilgi Güvenliği Görevlileri, Uygulama Güvenliği Yöneticileri ve Geliştirme Başkanları Araştırması’nda, katılımcıların üçte biri 2024 yılında kuruluşlarının kodunun yüzde 60’ından fazlasının AI tarafından üretildiğini söyledi. Ancak katılımcıların sadece yüzde 18’i kuruluşlarının vibe kodlama için onaylanmış araçlar listesine sahip olduğunu söyledi. CheckMarx binlerce profesyoneldi ve bulguları Ağustos ayında yayınladı – AI gelişiminin kodun “sahipliğini” izlemeyi zorlaştırdığını da vurguladı.