Bir sonraki büyük skandala benziyor: Anthropic Claude Code'un CLI aracından 500.000 satırdan fazla kaynak kodu halka açık olarak görüntüleniyor. Güvenlik topluluğu dinliyor, rakipler ellerini ovuşturuyor, yorumcular zaten her şeyden yapay zekanın sorumlu olduğuna dair bir sonraki kanıtı hissediyorlar. Ancak daha yakından bakarsanız karmaşık saldırılar, sıfır gün açıkları ve hatta sosyal mühendislik bulamazsınız. Ama sadece npm paketindeki oraya ait olmayan bir kaynak haritası. Yani yaratım sürecinde unutulmuş bir adım. Buradaki sistem özensiz görünüyor.
Duyurudan sonra devamını okuyun
Moritz Förster, 2012'den beri iX ve Haberler online için yazıyor. iX kanalına ek olarak Workplace alanından da sorumludur.
Üretim yapısında hata ayıklama yapıtları – bir klasik
Kaynak haritaları geliştirmede faydalı yardımcılardır. Derlenmiş kodu okunabilir kaynak metne dönüştürürler: hata ayıklama için vazgeçilmezdir, üretimde ölümcüldür. Bitmiş pakette kalmaları, karmaşık bir saldırı ya da çılgın bir yapay zekadan kaynaklanmıyor. Bunun nedeni, hiç kimsenin derleme sürecini doğru şekilde yapılandırmamasıdır. Veya bir noktada konfigürasyonun üzerine sessizce yazıldığı için. Ya da sadece kimse bakmadığı için.
Geliştiriciler modeli biliyor. Git deposundaki unutulmuş .env dosyasıdır. Katıştırılmış kimlik bilgilerine sahip Docker görüntüsü. Hata ayıklama API'si “yalnızca dahili” olduğundan aylarca açıktır. Süreç başarısızlığının anlamı da tam olarak budur.
Kimse kendini sorumlu hissetmiyor
Modern inşaat boru hatları son derece karmaşıktır. Paketleyiciler, aktarıcılar, küçültücüler, paketleyiciler: Her adım eserler yaratır, her adım dışarıya ait olmayan şeyleri sızdırabilir. Bunun sorumluluğu çok sayıda araca, yapılandırma dosyasına ve ekibe yayılmıştır. Sonuçta kimse kendini sorumlu hissetmiyor. “Boru hattı bunu yapacak” şu anda yazılım geliştirmedeki en tehlikeli ifadelerden biridir.
Duyurudan sonra devamını okuyun
Bu genellikle klasik projelerde işe yarar. Eserler sıkıcıdır, hasar yönetilebilir. Claude Code gibi bir yapay zeka aracında işler farklıdır. Burada kod yalnızca uygulama ayrıntılarını değil aynı zamanda mimari kararları, yayınlanmamış işlevler için özellik işaretlerini ve bir aracı sistemin tüm orkestrasyon mantığını da içerir. Bunu okuyabilen ve npm'si ve biraz sabrı olan herkes ücretsiz bir projeye sahip olacak.
Hız tedaviyi yener
Yapay zeka şirketleri yenilik yapma konusunda muazzam bir baskı altındadır. Sürümler kısa döngüleri takip eder, özelliklerin rakip bunları göstermeden önce yayınlanması gerekir. Bu gidişle güvenlik kapıları bir kenara düşüyor. İhmalden ya da kötü niyetten değil, pragmatizmden. Bir sonraki demo bir sonraki denetimden daha önemlidir.
Sonuç: Yerel geliştirme ortamlarını derinlemesine inceleyen, kodu okuyan, yazan ve çalıştıran araçlar, bir ön uç widget'ıyla aynı sürüm disipliniyle ele alınır. İşlerin ters gitmesi sürpriz değil. Bu sadece bir zaman meselesi.
Bilinen hatalar, yeni boyut
Mevcut olay münferit bir olay gibi görünmüyor: Basında çıkan haberlere göre bu, Claude Code'un bir yılı aşkın süre içinde yaptığı ikinci kasıtsız ifşası. Genel olarak sektör bu sorunu uzun zamandır biliyor. OWASP, yıllardır ilk on arasında “şifreleme hatalarını” (önceden hassas verilerin açığa çıkması) listeledi. Ancak bu tekrar tekrar olur ve sonuçlar yalnızca artar.
Çünkü sızdırılan bir kaynak kodu, bir halkla ilişkiler sorunundan daha fazlasıdır. Rakiplere Anthropic'in temsilci iş akışlarını nasıl düzenlediğini gösterin. Saldırganlara, mantığın yararlanılabilecek varsayımlarda bulunduğu yerleri gösterin. Bu, yapay zeka güvenliği için milyarlarca dolar toplayan bir şirketin temel yazılım hijyenini sağlamada başarısız olduğunu kamuoyuna gösteriyor.
Güvenlik duvarları özensizliğe karşı yardımcı olmuyor
Bu tür olaylardan sonraki tepki tahmin edilebilir: daha fazla güvenlik aracı, daha fazla izleme, daha fazla dış savunma. Ama tam olarak neye karşı? Burada durdurulabilecek hiçbir saldırgan yoktu. Dünyadaki hiçbir güvenlik duvarı yanlış yapılandırılmış bir derleme komut dosyasına karşı koruma sağlamaz.
Yardımcı olabilecek şey daha az dikkat çekicidir: her sürümden önce paket içeriğini tarayan otomatik kontroller. İnşaat sürecinde sorumlulukları netleştirin. Hassas enstrümanların serbest bırakılması için dört göz prensibi. Klasik yazılım geliştirmede uzun süredir standart olması gereken ve dünyanın en iyi finanse edilen yapay zeka şirketlerinden birinde bile güvenilir şekilde çalışmayan her şey.
Gerçek uyandırma çağrısı
Ve sorun tam olarak yerleşik süreç olduğundan, bu olayın yüksek profilli bir siber saldırıdan daha endişe verici olması gerekir. BT endüstrisinin pek çok sektöründe hüküm süren ve hepimizin bildiği gibi ölçeklendirilmesi zor olan ihmallerle mücadelede yalnızca disiplin yardımcı olabilir.
(fo)
Bir yanıt yazın