Yapay Zeka 72 Saatte 300 WordPress Eklentisi Zafiyeti Buldu
Yapay zeka saniyeler içinde hataları buluyor. Bu, geliştiriciler için her şeyi değiştiriyor.
Yakın zamanda yapılan bir güvenlik taraması, sadece 72 saat içinde WordPress eklentilerinde 300'den fazla kritik sıfırıncı gün (zero-day) zafiyeti buldu. Araştırmacılar buna "vibe coding" diyor. Bu durum, geliştiricilerin yapay zeka tarafından oluşturulan kodu denetlemeden yayına almasıyla gerçekleşiyor.
Bir ajans, tek bir yapay zeka tarafından oluşturulmuş eklentide 100 güvenlik sorunu tespit etti.
Yapay zeka her iki tarafta da çalışıyor. Kodu hızlı yazıyor ancak escaping (kaçış) ve yetki kontrolleri gibi güvenlik adımlarını genellikle atlıyor. Aynı zamanda saldırganlar da aynı açıkları anında bulmak için yapay zekayı kullanıyor.
Eski güvenlik ağları artık yok. Gizlilik (obscurity) ve zaman artık kodunuzu korumuyor. Veriler, bir hata kamuoyuna açıklandıktan yaklaşık beş saat sonra kitlesel istismarın (exploitation) gerçekleştiğini gösteriyor. Bu, tepki vermek için yeterli bir süre değil.
Bunu acı bir tecrübeyle öğrendim. Bir yapay zeka sohbet botu eklentisi geliştirdim. Bir güvenlik incelemesi kodumda 35 hata buldu. En kötüsü bir HTML injection (HTML enjeksiyonu) idi. Yapay zekanın çıktısına güvendim. Yapay zeka yazdığı için güvenli olduğunu düşündüm.
Öyle değildi. Yapay zeka çıktısı, kullanıcılardan veya harici web sitelerinden gelen kötü amaçlı içerikler taşıyabilir. Eğer yapay zeka çıktısını güvenli kabul ederseniz, bir sızıntı yaratırsınız.
İş akışımı değiştirdim. Artık "çalışıyor olması"nın "güvenli olduğu" anlamına geldiğini varsaymıyorum. Artık yapay zeka tarafından yazılan her işleyiciyi (handler) üç alanda manuel olarak inceliyorum:
• Input (Girdi): Verinin sisteme nasıl girdiği.
• Output (Çıktı): Verinin sistemden nasıl çıktığı. Yapay zeka yanıtlarını güvenilmeyen girdi olarak kabul ediyorum. esc_html ve wp_kses gibi fonksiyonlar kullanıyorum.
• Permissions (Yetkiler): Her giriş noktasında kullanıcı yeteneklerini (capabilities) ve nonce değerlerini kontrol ediyorum.
Asıl sorun sadece kod değil. Asıl sorun yanıt süresi. Birçok geliştirici, bir hata kamuoyuna açıklanmadan önce bir yama (patch) yayınlamıyor. Birçok eklenti için ise hiçbir çözüm mevcut değil.
Eğer tek başına çalışan bir geliştiriciyseniz, sadece dikkatli yazıp işlerin yolunda gitmesini bekleyemezsiniz. İnsanların hataları kamuoyuna açıklanmadan önce size bildirebileceği bir yola ihtiyacınız var.
2026 sonuna kadar AB yasaları zafiyet bildirim programlarını (vulnerability disclosure programs) zorunlu kılacak. Tek başına çalışan yazarlar için bu basit olabilir. Readme dosyanıza bir güvenlik iletişim bilgisi ekleyin. İnsanlara rapor gönderebilecekleri özel bir alan sağlayın.
Kamuya açık bir exploit beklemeyin. Beş saatlik geri sayım başlamadan hataları yakalayacak sistemler kurun.
İsteğe bağlı öğrenme topluluğu: https://t.me/GyaanSetuAi
