Yapay zekâ tabanlı kod üreticileri, yazılımcıların iş yapış biçimlerini hızla değiştiriyor. Ancak bu yeni araçların sunduğu kolaylıklar, yazılım tedarik zincirinde büyük güvenlik risklerine yol açabiliyor. Yapay zekâ destekli kod yardımcıları, bazen gerçek olmayan yazılım paketleri öneriyor ve bu da ciddi güvenlik açıklarına neden oluyor.
Yapay Zekâ Araçları Yanıltıcı Kod Paketleri Sunabiliyor
Yapay zekâ kod yardımcıları, geliştiricilere bazen var olmayan paket isimleri öneriyor. Araştırmalar, ticari modellerde %5.2, açık kaynaklı modellerde ise %21.7 oranında yanlış paket isimlerinin önerildiğini ortaya koyuyor. Bu durumda yazılımcılar, yanlış paket isimleriyle karşılaşıyor ve yazılımı çalıştırmaya çalıştıklarında hata alıyorlar. Ancak bazı kötü niyetli kişiler, bu durumu kendi çıkarları için kullanabiliyor.
Yapay zekâ, yazılımcılara yanlış paket isimlerini önerdiğinde, kötü niyetli kişiler bu isimleri kullanarak zararlı yazılımlar oluşturuyor. Bu zararlı yazılımlar, PyPI ya da npm gibi paket kayıtlarına yükleniyor. Yapay zekâ kod yardımcıları bu paketleri önerdiğinde, yazılımcılar farkında olmadan zararlı yazılımlarla karşılaşıyor. Bu tür saldırılar, yazım hatalarına dayalı siber saldırılara benzer şekilde “slopsquatting” olarak adlandırılıyor.
Güvenlik uzmanları, kullanıcıların yapay zekâ tarafından önerilen paketleri dikkatle kontrol etmeleri gerektiğini vurguluyor. Python Yazılım Vakfı’ndan Seth Michael Larson, bu tür hataların tespit edilmesinin zaman alıcı olduğunu belirtiyor. Larson, yazılımcıların her zaman paket isimlerini kontrol etmeleri gerektiğini ve doğruluğunu onaylamadan bu paketleri yüklememeleri gerektiğini söylüyor.
Son yıllarda, bazı siber suçlular yapay zekâ kullanarak yanlış paket isimlerini oluşturuyor ve bu paketleri hızla yayıyor. Örneğin, “Iain” adıyla bilinen bir saldırgan, ChatGPT’yi kullanarak gerçek paket isimlerinin varyasyonlarını oluşturmuş ve bunları zararlı yazılımlar için kullanmış. Bu durum, yapay zekânın siber saldırılar için nasıl kullanılabileceğini gözler önüne seriyor.
Yapay zekâ ile kod yazmak daha yaygın hale gelirken, güvenlik açıkları ve saldırılar da artıyor. Güvenlik uzmanları, bu sorunları çözmek için çeşitli yöntemler üzerinde çalışıyor. Python Yazılım Vakfı, PyPI gibi yazılım platformlarında güvenliği artırmak için çalışmalarını sürdürüyor. Kullanıcıların daha dikkatli olması ve her zaman güvenilir paketleri kullanmaları büyük önem taşıyor.
