Kod oluşturmak için büyük dil modellerinin (LLM’ler) kullanımı 2024’te arttı; geliştiricilerin büyük çoğunluğu kodlamaya yardımcı olmak için OpenAI’nin ChatGPT’sini, GitHub Copilot’u, Google Gemini’yi veya JetBrains AI Assistant’ı kullanıyor.
Ancak oluşturulan kodun güvenliği ve geliştiricilerin bu koda olan güveni gecikmeye devam ediyor. Eylül ayında bir grup akademik araştırmacı, ticari modeller tarafından oluşturulan kodun %5’inden fazlasını ve açık kaynak modeller tarafından oluşturulan kodun yaklaşık %22’sini buldu. mevcut olmayan paket adlarını içeriyordu. Kasım ayında, beş farklı popüler yapay zeka (AI) modeli tarafından oluşturulan kod üzerinde yapılan bir araştırma şunu ortaya çıkardı: oluşturulan kod parçacıklarının en az %48’i güvenlik açıkları içeriyordu.
Google’da geliştirici araçları ve üretkenlikten sorumlu kıdemli ürün müdürü ve lider Ryan Salva, kod üreten yapay zeka araçları geliştirmeyi hızlandırırken şirketlerin de buna ayak uydurmak için güvenli kodlama uygulamalarını uyarlaması gerektiğini söylüyor.
“Bu araçları benimsedikçe işleri aynı şekilde yapmaya devam edemeyeceğimize ve modellerin bize her zaman doğru cevabı vereceğine kesinlikle güvenemeyeceğimize derinden inanıyorum” diyor. “Yolun her adımında kesinlikle iyi, eleştirel insan muhakemesi ile eşleştirilmelidir.”
Önemli risklerden biri, kod üreten yapay zeka sistemlerinin neden olduğu halüsinasyonlardır; yazılım geliştiricisi tarafından kabul edilirse güvenlik açıkları ve kusurlarla sonuçlanır. BT liderlerinin %60’ı, yapay zeka kodlama hatalarının etkisini çok veya aşırı derecede önemli olarak tanımlamaktadır. “Kurumsal Açık Kaynak Yapay Zekanın Durumu“Geliştirici araç üreticisi Anaconda tarafından yayınlanan rapor.
Anaconda’nın kurucu ortağı ve yapay zeka ve inovasyondan sorumlu şef Peter Wang, şirketlerin yapay zekanın geliştiricilerin çabalarını desteklemediğinden, onların yerine geçmediğinden emin olmaları gerektiğini söylüyor.
“Bu kod oluşturma yapay zeka araçlarının kullanıcılarının, uygulamadan önce kodu incelerken gerçekten dikkatli olmaları gerekiyor” diyor. “Bu araçları kullanmak, kötü amaçlı kodların sızmasının bir yoludur ve riskler inanılmaz derecede yüksektir.”
Geliştiriciler Verimlilik Kazanımlarının Peşinde
Açık kaynaklı projelerde çalışan geliştiricilerin neredeyse dörtte üçü (%73) kodlama ve dokümantasyon için yapay zeka araçlarını kullanıyor. GitHub’ın 2024 Açık Kaynak Anketibir saniye kadar 2.000 geliştiricinin katıldığı GitHub anketi ABD, Brezilya, Almanya ve Hindistan’da katılımcıların %97’sinin bir dereceye kadar yapay zeka kodlama araçlarını kullandığı ortaya çıktı.
Sonuç, kod hacminde önemli bir artıştır. Google Salva’ya göre Google’da üretilen kodun yaklaşık dörtte biri yapay zeka sistemleri tarafından üretiliyor. GitHub’u düzenli olarak ve GitHub Copilot’u kullanan geliştiriciler de daha aktif oluyor ve şirketin raporuna göre %12 ila %15 daha fazla kod üretiyorlar. Ekim 2024 raporu.
Genel olarak, geliştiriciler artan verimlilikten memnun; yıllık “a göre, geliştiricilerin yaklaşık yarısı (%49) AI araçlarını kullanmaları nedeniyle haftada en az iki saat tasarruf ettiklerini belirtiyor.Geliştirici Ekosisteminin Durumu Raporu“yazılım araçları üreticisi JetBrains tarafından yayınlandı.
JetBrains Yapay Zeka Direktörü Vladislav Tankov, geliştirici araçlarını pazara sunma çabasında yapay zeka firmalarının hassasiyet yerine çok yönlülüğü seçtiğini ancak bunların önümüzdeki yıl içinde gelişeceğini söylüyor.
“LLM’lerin yükselişinden önce, ince ayarlı ve özel modeller pazara hakimdi” diyor. “LLM’ler çok yönlülüğü getirdi; istediğiniz her şeyi yalnızca bir anlık uzaklıkta gerçekleştiriyor, ancak çoğu zaman hassasiyetten ödün veriyor. Çok yönlülüğü doğrulukla birleştiren yeni nesil uzmanlaşmış modeller öngörüyoruz.”
Ekim ayında JetBrains faaliyete geçti Arasındakod oluşturma görevlerinde uzmanlaşmış bir LLM. Tankov, şirketin modeli birkaç aşamada eğittiğini, “genel bir anlayışla başlayıp giderek daha özel hale gelen kodlama görevlerine doğru ilerlediğini” söylüyor. Bu şekilde, temel işlevinde mükemmelleşirken daha geniş bağlam hakkında genel bir anlayışa sahip oluyor.
Çabalarının bir parçası olarak JetBrains’in, savunmasız kod önerileri olasılığını azaltmak için geri bildirim mekanizmalarına ve yapay zeka tarafından oluşturulan kod için ekstra filtreleme ve analiz adımlarına sahip olduğunu söylüyor.
Güvenlik hâlâ endişe kaynağı olmaya devam ediyor
Genel olarak, geliştiricilerin popüler Yüksek Lisans’lar tarafından oluşturulan kodlara giderek daha fazla güvendiği görülüyor. JetBrains raporuna göre geliştiricilerin çoğunluğu (%59) yapay zeka tarafından oluşturulan kodun kullanımıyla ilgili güvenlik endişelerine sahipken, dörtte üçünden fazlası (%76) buna inanıyor Yapay zeka destekli kodlama araçları insanlardan daha güvenli kod üretir.
Anaconda’dan Wang, geliştiriciler araçları güvenli bir şekilde nasıl kullanacaklarını bildikleri sürece yapay zeka araçlarının güvenli kod geliştirmeyi hızlandırmaya yardımcı olabileceğini söylüyor. Yapay zeka araçlarının, %10 ila %30 oranında hata üretirken geliştirici verimliliğini iki katına çıkarabileceğini tahmin ediyor.
Kıdemli geliştiricilerin kod üreten yapay zeka araçlarını “çok yetenekli bir stajyer olarak kullanması, geliştirme ve onay için aktarmadan önce ezberci çalışmaların çoğunu ortadan kaldırması” gerektiğini söylüyor. “Genç geliştiriciler için, araştırma yapmak ve çeşitli eğitimlerden öğrenmek için gereken süreyi azaltabilir. Genç geliştiricilerin dikkatli olması gereken nokta, anlamadıkları kaynaklardan veya taslak kodlardan yararlanmak için kod oluşturma yapay zekasını kullanmaktır.”
Ancak yapay zeka aynı zamanda sorunun çözülmesine de yardımcı oluyor.
GitHub Wales, hizmetin Copilot Autofix’i gibi araçlara, yapay zekanın güvenli kod oluşturmayı artırabileceğine işaret ediyor. Autofix’i kullanan geliştiriciler kodlarındaki güvenlik açıklarını düzeltme eğilimindedir üç kattan fazla daha hızlı GitHub’a göre bunu manuel olarak yapanlara göre.
Wales, “Aracı açık kaynak geliştiricilerinin kullanımına ücretsiz olarak sunduğumuzdan bu yana, Copilot Autofix’i kullanarak neredeyse %50’den neredeyse %100’e kadar iyileştirme oranlarında iyileşmeler gördük” diyor.
Ve araçlar daha iyi hale geliyor. Google’dan Salva, son birkaç yıldır yapay zeka sağlayıcılarının kod önerisi kabul oranlarının yılda yaklaşık yüzde 5 arttığını gördü, ancak bu oranlar büyük ölçüde etkileyici olmayan yüzde 35’te sabitlendi.
“Bunun nedeni, bu araçların büyük ölçüde imleci çevreleyen bağlamda temellendirilmiş olmasıdır. [integrated development environment (IDE)] tek başına ve dolayısıyla bağlamı imlecin biraz öncesinden ve biraz sonrasından alıyorlar” diyor. “Bağlamı IDE’nin ötesine genişleterek, bu bize imlecin kalitesini artırmada bir sonraki önemli adımı atma eğiliminde oluyor” yanıt.”
Geliştiricilerin İşlem Hatları için Ayrı Yapay Zekalar
Yapay zeka asistanları halihazırda uzmanlaşıyor ve geliştirme hattının farklı yönlerini hedef alıyor. Geliştiriciler, ChatGPT ve Google Gemini gibi geliştirme ortamlarına entegre yapay zeka araçlarını ve bağımsız araçları kullanmaya devam ederken, geliştirme ekiplerinin güvenli kodu etkili bir şekilde üretmek için büyük olasılıkla uzmanlara ihtiyacı olacak.
GitHub’dan Wales, “İyi haber şu ki yapay zekanın ortaya çıkışı, siber güvenlik hakkındaki düşüncelerimizi ve yaklaşımımızı şimdiden yeniden şekillendiriyor” diyor. “2025 yapay zeka mühendislerinin çağı olacak ve güvenlik ekiplerinin kompozisyonunun değişmeye başladığını göreceğiz.”
JetBrains’ten Tankov, saldırganlar kod oluşturma araçlarına daha aşina hale geldikçe, araçları kullanmaya çalışan saldırıların da daha yaygın hale gelebileceğini söylüyor.
“Ajanlar daha büyük miktarlarda kod ürettikçe ve bazıları potansiyel olarak insan incelemesini atladıkça güvenlik daha da acil hale gelecektir” diyor. “Bu aracılar aynı zamanda karar verdikleri, yeni saldırı vektörlerini tanıttıkları ve geliştiricilerden ziyade kodlama aracılarının kendilerini hedef aldıkları yürütme ortamlarına da ihtiyaç duyacak.”
Yapay zeka kod üretimi 2025’te fiili standart haline geldikçe, geliştiricilerin savunmasız kodları nasıl kontrol edebilecekleri ve yapay zeka araçlarının güvenliğe öncelik vermesini nasıl sağlayacakları konusunda daha bilinçli olmaları gerekecek.