Vibe-Coding Uygulamaları ve Güvenlik Tehditleri
Yapay zeka, programcıların günlük işlerini devralırken, güvenlik uzmanları bu otomatik kodlama araçlarının yazılımlara yeni hacklenebilir hatalar ekleyebileceği konusunda uyarılarda bulundu. Ancak, herhangi biri tarafından web üzerinde kolayca oluşturulabilen bu vibe-coding uygulamaları, güvenlik problemlerini yalnızca hatalarla sınırlı kalmayıp, oldukça hassas kurumsal ve kişisel verilerin yanı sıra tamamen güvenliksiz bir ortam da sunmaktadır.
Yüksek Riskli Uygulamalar
Güvenlik araştırmacısı Dor Zvi’nin liderlik ettiği RedAccess firması, Lovable, Replit, Base44 ve Netlify gibi AI yazılım geliştirme araçlarıyla oluşturulmuş binlerce uygulamayı inceledi. Araştırma sonucunda, 5,000’den fazla web uygulamasının neredeyse hiç güvenlik ya da kimlik doğrulama içermediği ortaya koyuldu. Bu uygulamalardan bazıları, yalnızca URL’sini bulan herkesin erişimine açıkken, bazıları ise kullanıcıdan sadece bir e-posta adresiyle giriş yapmasını gerektiren basit engellerle korunuyordu. Zvi’nin bulgularına göre, bu uygulamaların yaklaşık %40’ı, tıbbi bilgiler, mali veriler, kurumsal sunumlar ve strateji belgeleri gibi hassas verileri açığa çıkarıyordu.
Veri Sızıntıları ve Etkileri
Zvi, “Sonuç olarak, organizasyonlar vibe-coding uygulamaları aracılığıyla özel verilerini sızdırıyor,” diyor. Bu, dünyanın her yerinden herkesin erişebileceği kurumsal veya başka hassas bilgilerin açığa çıkması açısından en büyük olaylardan biri olarak değerlendiriliyor. Araştırmalar, güvenliği sağlanmamış bu uygulamaların, kullanıcıların kişisel bilgilerini kolayca ifşa edebileceğini gösteriyor. Örneğin, bazı uygulamalar, doktorların kişisel bilgilerini içeren hastane çalışma atamalarını ortaya çıkarabiliyor ya da müşterilerin tam bilgileriyle chatbot ile yapılan konuşmaların kayıtlarını barındırabiliyor.
Basit Arama Yöntemleriyle Bulunan Açıklar
RedAccess’in savunmasız web uygulamalarını bulması beklenenden daha kolay oldu. Lovable, Replit, Base44 ve Netlify, kullanıcıların web uygulamalarını kendi alan adları üzerinde barındırmalarına izin verirken, araştırmacılar bu alan adları ile belirli arama terimlerini birleştirerek binlerce vibe-coded uygulamayı tespit etti. Bu bulgular, veri güvenliğinin ihlal edildiği yerlerde ne kadar kolayca erişim sağlanabildiğini gözler önüne seriyor.
Hacker Saldırılarının Potansiyeli
Zvi, analiz ettiği uygulamalarda bazı durumlarda yönetici ayrıcalığına sahip olabileceğini ve diğer yöneticileri kaldırabileceğini belirtiyor. Lovable’de, Bank of America, Costco ve FedEx gibi büyük şirketleri taklit eden çok sayıda phishing (oltalama) sitesi de tespit edildi. Bu tür siteler, kullanıcılardan kişisel bilgilerini çalmayı hedefliyor.
Cevapsız Sorular ve Tartışmalar
WIRED, araştırmanın bulgularıyla ilgili olarak dört AI kodlama şirketine soru yöneltti. Netlify’dan bir yanıt gelmezken, diğer üç firma, RedAccess’in iddialarına karşı çıkarak yeterince bilgi paylaşılmadığını ve cevap verme süresi verilmediğini belirtti. Ancak, bu şirketler, RedAccess’in bulduğu açıkların mevcut olduğunu inkar etmediler.
Replit CEO’su Amjad Masad, yaptığı açıklamada, kullanıcıların uygulamalarının halka açık veya özel olmasını seçebildiğini belirtti. Ancak, bu tür uygulamaların internet üzerinde erişilebilir olmasının beklenen bir davranış olduğunu vurguladı. Gizlilik ayarlarının tek bir tıklama ile değiştirilebileceğini ifade etti.
Sonuç
Vibe-coding uygulamaları, modern yazılım geliştirme süreçlerine yenilikler getirse de, beraberinde ciddi güvenlik sorunlarını da getiriyor. Kişisel ve kurumsal verilerin ifşası, bu tür uygulamaların nasıl kullanıldığının ve güvenlik önlemlerinin ne kadar dikkatle uygulandığının kritik önem taşıdığını ortaya koyuyor. Kullanıcıların dikkatli olması ve geliştirdikleri uygulamaların güvenliğini sağlamaları gerekmektedir.
Teknoloji
US-1
