Son zamanlarda yapılan bir soruşturma, 22 Ağustos 2025’te yayınlanan ayrıntılı bir blog yayınına göre, uygulama kodu oluşturmak için yalnızca büyük dil modellerine (LLMS) güvenmenin kritik güvenlik açıkları getirebileceğini ortaya çıkardı.
Araştırma, geniş internet verileri üzerinde eğitilmiş olan LLM’lerin – daha da güvensiz örnek kodunun – geliştiricileri potansiyel risklere uyarmadan çoğunlukla çoğalttığını vurgulamaktadır.
Güvenlik uzmanları uzun zamandır, çevrimiçi bulunan kod örneklerinin savunma konusunda gösterime öncelik verdiği konusunda uyarmıştır.
Bununla birlikte, LLM’ler bu güvensiz snippet’leri ölçeklendirerek öğrenerek ve yeniden düzenleyerek bu sorunu güçlendirir. Önemli bir durumda, araştırmacı, önde gelen bir kripto para birimi platformundan bir görüntüleme başına ödeme eklentisi için örnek kodda bir güvenlik açığı keşfetti.
Kusur, çekirdek kütüphanede değil, sadece örnek uygulamada mevcut olmasına rağmen, yine de güvenlik incelemeleri tarafından fark edilmeyebileceği üretim uygulamalarına kopyalanabilir.
Blog yayınının merkezi parçası, bir LLM tarafından oluşturulan istemci tarafı kodunun doğrudan tarayıcı JavaScript’te e-posta gönderen bir API uç noktasını nasıl ortaya çıkardığını gösteren canlı bir kavram kanıtıdır (POC).
Savunmasız komut dosyası, API URL’sini, giriş doğrulamasını ve gönderme mantığını tamamen ön uçta tanımladı:
const smtp_api = "https:///send-email";
function validateForm(name, email, number) {
if (!name || !email || !number) {
alert("Please fill in all required fields.");
return false;
}
return true;
}
async function submitForm(name, email, number) {
const data = { name, email, number, company_email: "", project_name: "" };
const res = await fetch(smtp_api, {
method: 'POST',
headers: { 'Content-Type': 'application/json' },
body: JSON.stringify(data)
});
// …
} Bu ayrıntıları istemci tarafına maruz bırakarak, herhangi bir kötü amaçlı aktör, doğrulamayı tamamen atlayarak amaçlanan iş akışının dışında talepler oluşturabilir.
POC, saldırı senaryolarını simüle etmek için basit bir curl komutu kullanır:
curl -X POST "https://redacted.example/send-email" \
-H "Content-Type: application/json" \
-d '{"name":"Test User","email":"[email protected]","number":"1234567890","country_code":"+91","company_email":"[email protected]","project_name":"Redacted Project"}'
Bu önemsiz istismar, keyfi e-posta adreslerini spamlama, kimlik avı mesajları olan müşterileri hedefleme veya güvenilir gönderenleri taklit etme yeteneğini gösterir-örnek kodu otomatik olarak oluşturulduğunda hızlı bir şekilde yükselen tehditler.
Koşulları barındırma sağlayıcıya bildirdikten sonra, araştırmacının, savunmasız uygulama üçüncü taraf bir örnek olduğu için iyileştirmenin kapsam dışında olduğu söylendi.
Bununla birlikte, bölüm daha geniş bir sorunu vurgulamaktadır: LLM’ler iş bağlamı ve tehdit modellemesini anlamaktan yoksundur ve istismar vakaları veya savunma tasarımı hakkında kendi başlarına akıl yürütemez. İnsan gözetimi, saldırı yüzeylerini tanımlamak ve güvenli temerrütleri uygulamak için gereklidir.
Kuruluşlar AI’yı giderek daha fazla geliştirme iş akışlarına entegre ettikçe, bu araştırma, güvenliğin sonradan düşünülemeyeceğini kesin bir hatırlatma görevi görür.
LLM yardımını titiz insan liderliğindeki kod incelemeleriyle birleştirmek, tehdit modelleme ve otomatik güvenlik testi, LLM tarafından üretilen güvenlik açıklarının üretim ortamlarına ulaşmasını önlemek için çok önemli olacaktır.
Bu haberi ilginç bul! Anında güncellemeler almak için bizi Google News, LinkedIn ve X’te takip edin!