AI Tarafından Oluşturulan Kod Kalıcı Olacak. Bunun Sonuçlarından Daha Az Güvenli Oluyor muyuz?

2025’te kodlama, parçalar üzerinde çalışmak veya uzun saatler boyunca hata ayıklamak anlamına gelmiyor. Bu, tamamen farklı bir vibe. AI tarafından oluşturulan kod, gelecekteki ürünlerin çoğunda kodun çoğunluğunu oluşturacak ve modern geliştiriciler için temel bir araç seti haline geldi. “Vibe coding” olarak bilinen, Github Copilot, Amazon CodeWhisperer ve Chat GPT gibi araçlar tarafından oluşturulan kodu kullanmak, build süresini azaltmak ve verimliliği artırmak için norm haline gelecek ve istisna olmayacak. Ancak AI tarafından oluşturulan kodun rahatlığı, daha koyu bir tehdit riski taşıyor mu? Güvenlik mimarisinde güvenlik açıklarını artırıyor mu, yoksa geliştiriciler “vibe code”u güvenle yapabilirler mi?

“AI tarafından oluşturulan kodlardaki güvenlik açıklarının neden olduğu güvenlik olayları, bugün en az tartışılan konulardan biridir” dedi DeepSource kurucusu Sanket Saurav. “Hala Copilot veya Chat GPT gibi platformlar tarafından oluşturulan ve insan tarafından gözden geçirilmeyen çok fazla kod var ve güvenlik ihlalleri etkilenen şirketler için felaket olabilir.”

Kod kalitesi ve güvenliği için statik analiz kullanan açık kaynaklı bir platformın geliştiricisi olan Saurav, 2020’deki SolarWinds hack’ini, şirketlerin AI tarafından oluşturulan kodu kullanırken doğru güvenlik önlemlerini almazlarsa karşılaşabilecekleri “yok olma olayı” türünden biri olarak nitelendirdi. “Statik analiz, güvenli olmayan kod kalıplarını ve kötü kodlama uygulamalarını tanımlamaya olanak tanır” dedi Saurav.

Kütüphane Üzerinden Saldırı

AI tarafından oluşturulan kodlara yönelik güvenlik tehditleri, icatçı formlar alabilir ve kütüphanelere yönlendirilebilir. Programlamada kütüphaneler, geliştiricilerin zaman kazanmak için kullandıkları tekrar kullanılabilir kodlardır.

Veritabanı etkileşimlerini yönetme gibi düzenli programlama görevlerini çözerler ve programcıların kodları sıfırdan yeniden yazmalarına gerek kalmaz.

Kütüphanelere yönelik tehditlerden biri, “halüsinasyonlar” olarak bilinen, AI tarafından oluşturulan kodun kurgusal kütüphaneler kullanarak bir güvenlik açığı göstermesidir. AI tarafından oluşturulan kodlara yönelik daha yeni bir saldırı türü ise “slopsquatting” olarak adlandırılır ve saldırganların doğrudan kütüphaneleri hedef alarak bir veritabanına sızmasına olanak tanır.

Bu tehditlerle doğrudan başa çıkmak, “vibe coding” terimiyle önerilenden daha fazla farkındalık gerektirebilir. Université du Québec en Outaouais’teki ofisinden konuşan Profesör Rafael Khoury, AI tarafından oluşturulan kodların güvenliğini yakından takip ediyor ve yeni tekniklerin güvenliğini iyileştireceğine emin.

Profesör Khoury, 2023’te bir makalede, ChatGPT’ye daha fazla bağlam veya bilgi vermeden kod üretmesini istedi ve bu, güvenli olmayan kodlara yol açtı. Bunlar ChatGPT’nin ilk günleriydi ve Khoury şimdi geleceğe dair iyimser. “O günden bu yana, inceleme altında çok fazla araştırma var ve gelecek, LLM’yi kullanmak için bir stratejiye bakıyor ve daha iyi sonuçlara yol açabilir” dedi Khoury, “Güvenlik daha da iyi hale geliyor, ancak doğrudan güvenli kod alabileceğimiz bir noktada değiliz.”

Khoury, bir umut verici çalışmayı tanımladı, burada kod oluşturuldu ve ardından bu kod, güvenlik açıklarını analiz eden bir aracıya gönderildi. Aracın kullandığı yöntem, Finding Line Anomalies with Generative AI (kısa adı ile FLAG) olarak adlandırılıyor.

“Bu araçlar, örneğin 24. satırda bir güvenlik açığı olabileceğini gösteren FLAG’ler gönderebilir, ki bu, bir geliştiricinin LLM’ye geri gönderip sorunu incelemesini ve sorunu düzeltmesini isteyebileceği bir şeydir” dedi.

Khoury, bu ileri geri hareketin, saldırıya açık olan kodu düzeltmek için kritik olabileceğini öne sürdü. “Bu çalışma, beş iterasyonla güvenlik açıklarını sıfıra indirebileceğimizi öne sürüyor.”

Bununla birlikte, FLAG yöntemi, özellikle yanlış pozitifler ve yanlış negatifler oluşturabileceği için sorunlardan uzaktır. Buna ek olarak, LLM’lerin oluşturabileceği kodun uzunluğu sınırlamaları vardır ve parçaları birleştirmek başka bir risk katmanı ekler.

İnsanı Döngüde Tutma

“Vibe coding” içindeki bazı oyuncular, kodu parçalamayı ve insanların kod tabanının en önemli düzenlerinde ön planda kalmasını öneriyor. “Kod yazarken, commit’ler düşünün” dedi Windsurf ürün mühendisliği başkanı Kevin Hou, küçük parçaların bilgeliklerini överek.

“Büyük bir projeyi, normalde commit veya pull request olarak oluşturulabilecek daha küçük parçalara ayırın. Ajentin, küçük ölçekli, bir seferde izole bir özelliği oluşturmasını sağlayın. Bu, kod çıktısının iyi test edildiğini ve iyi anlaşıldığını garantileyebilir” diye ekledi.

Yazının yazıldığı sırada, Windsurf (eski adıyla Codeium), 5 milyardan fazla AI tarafından oluşturulan kod satırını ele aldı. Hou, cevapladıkları en acil sorunun, geliştiricinin sürecin farkında olup olmadığı olduğunu söyledi.

“AI, aynı anda birçok dosyada çok fazla düzenleme yapabiliyor, bu nedenle geliştiricinin gerçekten neler olduğu konusunda anladığından ve neler olduğu konusunda farkında olduğundan emin olmak nasıl olabilir?” diye sordu Hou, Windsurf’un UX’a çok fazla yatırım yaptıklarını ve “AI’nin neler yaptığını tam olarak takip edebilmek ve insanı tam olarak döngüde tutmak için çok fazla sezgisel yol” olduğunu ekledi.

Bu nedenle, “vibe coding” daha yaygın hale geldikçe, insanların döngüsünde olanların, “halüsinasyonlardan” “slopsquatting” tehditlerine kadar, güvenlik açıklarına karşı daha dikkatli olması gerekiyor. Güvenlik ve hızın, birbirini dışlamayan şeyler olmadığına dair çözümler ve zorluklar gerçek.

Statik analiz, iteratif iyileştirme yöntemleri gibi FLAG ve düşünceli UX tasarımı gibi ortaya çıkan araçlar, güvenlik ve hızın birbirini dışlamayan şeyler olabileceğini gösteriyor.

Anahtar, geliştiricileri dahil tutmak, bilgilendirmek ve kontrolde tutmaktır. Doğru güvenlik önlemleriyle ve “güven ama doğrula” zihniyetiyle, AI destekli kodlama hem devrimci hem de sorumlu olabilir.