Yapay zeka tarafından oluşturulan kod, halihazırda elektrik şebekelerini, tıbbi ekipmanı, araçları ve endüstriyel tesisleri kontrol eden cihazların içinde çalışıyor.
Yapay zeka deneyden üretime geçiyor
Yapay zeka araçları, yerleşik geliştirme iş akışlarında standart hale geldi. Yeni RunSafe Güvenlik anketine yanıt verenlerin %80’inden fazlası şu anda kod oluşturma, test etme veya belgeleme gibi görevlere yardımcı olmak için yapay zekayı kullandıklarını söylüyor. Diğer %20’lik kesim ise yapay zekayı aktif olarak değerlendirdiklerini söylüyor. Hiçbir katılımcı yapay zekadan tamamen kaçındığını bildirmedi.
Çalışma farklı kullanım derinliğini göstermektedir. Yaklaşık yarısı yapay zeka entegrasyonunu orta düzeyde olarak tanımlarken, dörtte birinden fazlası yoğun kullanım bildiriyor. Yalnızca küçük bir kesim, hiç yapay zeka kullanmadıklarını söylüyor. Bu ilerleme, deneme projelerinden rutin güvene geçişi yansıtıyor.
Testler erken yapay zeka kullanımına öncülük ediyor
Ekipler, yapay zekanın geliştirme yaşam döngüsünün neresine yerleştirileceği konusunda seçicidir. Ankete katılanların %28’i tarafından belirtilen en yaygın kullanım durumları arasında test etme ve doğrulama yer alıyor. Kod oluşturma %19 ile onu takip ederken, dağıtım otomasyonu ve dokümantasyon da hemen arkasından geliyor. Güvenlik taraması listede %10 ile daha düşük görünür.
Anket işlevler arası kullanıma işaret ediyor. Ürün ekipleri gereksinimleri araştırmak için yapay zekayı kullanıyor, mühendisler yapay zekanın önerdiği kodu ürün yazılımına entegre ediyor ve güvenlik ekipleri yazılımı daha hızlı taramak için yapay zekayı kullanıyor. Bu modeller, yapay zekanın fiziksel süreçleri kontrol eden sistemlere doğrudan katkıda bulunduğunu gösteriyor.
Üretim dağıtımları hızlanıyor
Yapay zeka tarafından oluşturulan kod zaten operasyonel ortamlarda çalışıyor. Ankete katılanların %83’ü, yapay zeka tarafından oluşturulan kodları geniş çapta veya sınırlı durumlarda üretim sistemlerine yerleştirdiklerini söylüyor. Raporların neredeyse yarısı birden fazla sistemde yapay zeka tarafından oluşturulan kodu kullanıyor.
Gelecekteki büyüme kesin görünüyor. %93’ü yapay zeka tarafından oluşturulan kod kullanımının önümüzdeki iki yıl içinde artmasını bekliyor ve üçte birinden fazlası önemli bir büyüme öngörüyor. Yalnızca küçük bir azınlık, kullanımın sabit kalmasını veya azalmasını bekliyor.
Güvenlik endişeleri yapay zeka tarafından oluşturulan koda odaklanıyor
Güvenlik, yapay zeka kullanımına bağlı endişelerin başında geliyor. Ankete katılanların %53’ü, yapay zeka tarafından oluşturulan kodlarla ilgili öncelikli endişelerinin güvenlik olduğunu belirtti. Bunu hata ayıklama ve bakım kolaylığının yanı sıra düzenleyici belirsizlik ve güvenli olmayan kalıpların yeniden kullanılması takip etti.
Siber güvenlik riskini derecelendirmeleri istendiğinde %73’ü yapay zeka tarafından oluşturulan koddan kaynaklanan riski orta veya daha yüksek olarak tanımladı. Çoğu bunu orta aralığa yerleştirdi. Bu, mevcut geliştirme uygulamalarında riskin anlamlı ve kalıcı olduğu görüşünü yansıtmaktadır.
Tespit yeteneklerinde güven düzeyleri yüksek görünüyor. %96’sı mevcut araçları kullanarak yapay zeka tarafından oluşturulan koddaki güvenlik açıklarını bulma becerilerine güvendiklerini ifade etti.
Aynı zamanda kuruluşların üçte biri geçtiğimiz yıl gömülü yazılımlarla ilgili bir siber olay yaşadığını bildirdi. Bu olaylar doğrudan yapay zekaya atfedilmese de daha hızlı geliştirme döngüleri ve artan kod karmaşıklığıyla şekillenen ortamlarda meydana geldi.
Çalışma zamanı savunmaları merkezi bir odak noktası haline geliyor
Bazı ekipler, çalışma zamanı güvenliğini yapay zeka tarafından oluşturulan kodun işlenmesi için gerekli olarak görüyor. Çalışma zamanı izleme ve istismar azaltma araçlarının yaygın olarak kullanılması, dağıtımdan sonra sürekli korumaya doğru bir değişimi yansıtıyor.
Bellek güvenliği kalıcı bir sorun olarak öne çıkıyor. Bellekle ilgili kusurlar çoğu gömülü yazılım güvenlik açığından sorumludur. Bazı ekipler hafıza açısından güvenli diller kullanırken, C ve C++ gibi geleneksel diller hala yaygın. Mevcut yerleşik kod üzerinde eğitilen yapay zeka sistemlerinin benzer kalıpları yeniden üretmesi ve çalışma zamanı korumalarına olan bağımlılığı artırması muhtemeldir.
Katılımcılar, çalışma zamanı korumasını sürekli olarak yapay zeka tarafından oluşturulan kod için son derece önemli olarak değerlendirdi. Ekipler çalışma zamanı kontrollerini, üretim sistemlerine ulaşan güvenlik açıklarının etkisini sınırlamanın bir yolu olarak görüyor.
Güvenlik uygulamaları birden fazla katmana dayanır
Hiçbir güvenlik yöntemi tek başına baskın değildir. Ekipler dinamik testi, çalışma zamanı izlemeyi, statik analizi, manuel kod incelemesini ve dış denetimleri birleştirir. Bu katmanlı yaklaşım, yapay zekanın kod hacmini manuel süreçlerin tek başına karşılayabileceğinin ötesinde artırdığının kabulünü yansıtıyor.
Manuel düzeltme eki uygulama birçok ortamda yaygın olmaya devam etmektedir. Büyük dağıtımlarda bu, yanıt sürelerini yavaşlatır ve maruz kalma süresini uzatır. Çalışma zamanı istismarını azaltma araçları, yamalar hazırlanırken istismar yollarını sınırlayarak bu boşluklar sırasındaki riskin azaltılmasına yardımcı olur.
Diğer bir endişe ise paylaşılan güvenlik açığı istihbaratıyla ilgilidir. Yapay zeka tarafından oluşturulan kodlar daha özelleştirilmiş olma eğilimindedir ve bu da ortak kitaplıkların ve kalıpların yeniden kullanımını azaltır. Bu, bir sistemde keşfedilen düzeltmelerin diğerlerine geniş çapta uygulanmasını zorlaştırır.
Düzenlemeler parçalanmış durumda
Düzenleme baskısı sektöre göre değişmektedir. Pek çok ekip, özellikle de harici rehberliğin yapay zeka tarafından oluşturulan kodlara değinmediği durumlarda dahili standartlara güvenir. Otomotiv ekipleri çoğunlukla yerleşik otomotiv siber güvenlik standartlarını takip ediyor. Sanayi ve enerji sektörleri çeşitli çerçevelere ve hükümet rehberliğine atıfta bulunmaktadır.
Bu yama çalışması birçok standardın yapay zeka destekli geliştirme yaygınlaşmadan önce yazıldığı gerçeğini yansıtıyor. Güvenlik ekipleri boşlukları ortamlarına göre uyarlanmış dahili kurallarla dolduruyor.
Harcama risk farkındalığını takip eder
Güvenlik yatırım planları güçlü bir ivme gösteriyor. Çoğu kuruluş önümüzdeki iki yıl içinde gömülü yazılım güvenliğine yönelik harcamaları artırmayı bekliyor.
İyileştirmelerin en çok nerede yardımcı olacağı sorulduğunda katılımcılar otomatik kod analizi, yapay zeka destekli tehdit modelleme ve çalışma zamanı istismarlarının azaltılmasına dikkat çekti. Bu öncelikler rapor boyunca açıklanan zorluklarla uyumludur. Yapay zeka, geliştirmeyi hızlandırır, kod hacmini artırır ve yeni modeller sunar. Güvenlik ekipleri, sürekli çalışan otomasyon ve kontroller arayarak yanıt verir.
RunSafe Security CEO’su Joseph M. Saunders, “Yapay zeka, yapay zeka tarafından oluşturulan kodu kritik altyapı genelinde geniş ölçekte dağıtan ekiplerle gömülü sistem geliştirmeyi dönüştürecek ve bu eğilimin hızlandığını görüyoruz” dedi. “