Yapay zeka kodlama araçları, yazılımın yazılma, test edilme ve güvenliğinin sağlanması şeklini yeniden şekillendiriyor. Hız vaat ediyorlar ama bu hızın da bir bedeli var. Aikido Security’nin yeni bir raporu, çoğu kuruluşun artık üretim kodu yazmak için yapay zekayı kullandığını ve birçoğunun bu nedenle yeni güvenlik açıklarının ortaya çıktığını gösteriyor.
Araştırmada geliştiriciler, uygulama güvenlik mühendisleri ve güvenlik liderleri de dahil olmak üzere ABD ve Avrupa’daki 450 profesyonelle anket yapıldı. Sonuçlar, yapay zekanın yazılım ekipleri içinde hızlı hareket ettiğini ancak güvenlik korkuluklarının buna yetişemediğini gösteriyor.
AI kodu artık yığının bir parçası
Üretim kodunun yaklaşık dörtte biri yapay zeka araçlarıyla yazılıyor ve ABD’de Avrupa’ya kıyasla daha fazla kullanılıyor. Çoğu kuruluş bu kurallara bağlı kusurlar buldu ve bazıları bu sorunların olaylara yol açtığını gördü.
Öyle olsa bile yapay zeka konusundaki iyimserlik hâlâ yüksek. Katılımcıların neredeyse tamamı yapay zekanın bir gün güvenli kod yazacağına inanıyor ancak çok azı bunu insan gözetimi olmadan yapabileceğini düşünüyor. Beklenti ile gerçeklik arasındaki uçurum çok büyük ve güvenlik ekipleri ortada kalıyor.
Yapay zeka kaynaklı güvenlik açıklarına ilişkin endişeler oldukça yaygın. Liderler, risklerin ancak yapay zeka ile ilgili ilk olaydan sonra gerçek olduğunu hissettiklerini söyledi. Teknoloji zaman kazandırıyor ancak aylar sonra ortaya çıkan ince hataların ortaya çıkmasına neden olabiliyor.
Yapay zeka tarafından oluşturulan kod bir sorun yarattığında sorumluluğu belirlemek zordur. Ankete katılanların yarısından fazlası güvenlik ekibini suçlayacaklarını söylerken, birçoğu kodu üreten veya birleştiren geliştiricilere işaret etti.
Yapay zeka, bir zamanlar insanların üstlendiği görevleri üstlendikçe bu belirsizlik de artıyor. Geliştiriciler daha hızlı hareket etmek için bu araçlara güveniyor ancak hataların sonuçları hâlâ insanlara düşüyor. Güvenlik liderlerinin artık otomasyonu sahiplikle dengeleyerek bu örtüşmeyi yönetmesi gerekiyor.
Aikido Security’nin CISO’su Mike Wilkes, “Yapay zeka tarafından oluşturulan kod bir ihlale neden olduğunda kimin sorumlu olduğunu kimse bilmiyor” dedi. “Geliştiriciler kodu yazmadı, bilgi güvenliği onu inceleyemedi ve hukuk, bir şeyler ters giderse sorumluluğu belirleyemiyor. Bu gerçek bir risk kabusu.”
Araç yığınları genişlemeye devam ediyor ve risk de artıyor
Rapor, daha büyük bir güvenlik aracı yığını kullanan ekiplerin genellikle daha fazla olayla karşılaştığını ortaya çıkardı. İhlallere maruz kalan kuruluşlar, daha geniş satıcı ürünleri çalıştırma eğilimindeydi. Her ekleme, yanıt olarak ekstra uyarılar, entegrasyonlar ve gecikmeler getirdi.
Mühendisler her hafta uyarıları tetiklemek için saatler harcıyor. Yanlış pozitifler zaman kaybına neden olur ve bazı ekiplerin düzeltmeleri geciktirmesine veya uyarıları görmezden gelmesine yol açar, bu da zamanla riski artırır. Araçların yaygınlaşması, büyük şirketlerde kötü uyarıların takip edilmesinden kaynaklanan üretkenlik kaybının hızla artmasıyla birlikte mali maliyetler de taşır.
Kuruluşlar hâlâ uygulama ve bulut güvenlik araçlarını ayırarak olay olasılığını artıran boşluklar yaratıyor. Bağlantısız yığınları çalıştıranların neredeyse tamamı, yinelenen uyarıları veya eksik verileri bildiriyor.
Bu işlevleri bir araya getirmek işi daha sorunsuz hale getirir ve ekiplerin daha hızlı yanıt vermesine yardımcı olur. Ayrıca onlara kodlarındaki zayıflıkların nerede olduğu konusunda daha iyi bir görüş sağlar.
İlk savunma hattı olarak geliştiriciler
Güvenlik sonuçları genellikle geliştiricilerin kullanabileceği araçlara bağlıdır. Hem geliştiriciler hem de güvenlik personeli için geliştirilmiş ürünleri kullanan ekipler, daha az olay ve daha hızlı iyileştirme rapor ediyor. Araçlar her iki gruba da hizmet ettiğinde iletişim gelişir ve düzeltmeler daha çabuk gerçekleşir.
Güvenliğin insan tarafı da başka bir baskı noktasıdır. Ekipler temel bilgilere sahip birkaç mühendise güvenir. Birini bile kaybetmek büyük boşluklar bırakabilir. Bu da dokümantasyonu, eğitimi ve saklamayı otomasyon kadar önemli hale getiriyor.
Avrupa engelliyor, ABD tepki gösteriyor
Avrupalı kuruluşlar daha az sayıda ciddi olay rapor ederken, daha fazla sayıda kıl payı atlatılan olay rapor ediyor; bu da sorunları daha erken tespit ettiklerini gösteriyor. Analistler bunu daha güçlü düzenlemelere ve daha temkinli geliştirme uygulamalarına bağlıyor.
ABD ekipleri daha hızlı hareket ediyor ancak daha büyük riski kabul ediyor. Yapay zeka tarafından oluşturulan kodlara büyük ölçüde güveniyorlar ve sıklıkla parçalanmış araç setlerini yönetiyorlar. Ayrıca düzeltmeleri Avrupalı emsallerine göre daha sık erteleme eğilimindeler. Hız avantajı kolayca yeni maruz kalma biçimlerine dönüşebilir.