Sunucuda kendi kendine oluşan dosyalar ve CoPilot un zararlı kod üretmesi üzerine

• Rıza Güngör
• Tarih : 2025-10-18
• Kategori : Web Programlama

. Giriş: Yapay Zeka Devrimi ve Gizli Tehlikeler

• Kısa Özet: Geliştirme süreçlerini hızlandıran VS Code/GitHub Copilot gibi yapay zeka (AI) kod yardımcılarının yükselişi.

• Sorun: AI'ın ürettiği kodlardaki güvenlik zafiyetleri ve bunun sunucu sistemleri üzerindeki beklenmedik etkileri (örneğin, sunucuda kendi kendine oluşan dosyalar).

• Bahsedilen Model: (bahsettiğim gibi, Copilot'ın arkasındaki modelin potansiyel güvenlik riskleri bağlamında "Cloudesonet 3.7 ve 4" modellerine genel bir referans).
  
  

2. Yapay Zeka Kod Üreticilerinin Güvenlik Açığı Potansiyeli

• Eğitim Verisi Sorunu: Copilot gibi araçların, halka açık depolardaki kodlarla eğitilmesi. Bu veri setleri, zararlı veya güvenlik açığı barındıran kod parçaları içerebilir.

• "Zararlı Kod" Üretimi: AI modelinin, bağlamı tam olarak anlamadan veya güvenlik önceliklendirmesi yapmadan güvenli olmayan desenler önermesi. (Örnek: SQL enjeksiyonu, hassas verilerin açığa çıkması).

• Gizlilik Riskleri: AI'ın, daha önce gizlenmiş veya silinmiş kod depolarındaki hassas bilgileri (API anahtarları vb.) yanıt olarak döndürme potansiyeli.

3. Sunucuda Kendi Kendine Oluşan Dosyaların İki Yüzü

• Meşru Sebepler: Kodun kendisinin (AI tarafından üretilmiş olsa bile) bir parçası olarak geçici dosyaların, logların, önbelleklerin veya yapılandırma dosyalarının oluşturulması (normal işletim).
  
  .htaccess dosyasına dikkat! Forbidden hatası alabilirsiniz bunu siz oluşturmadıysanız inceleyin gereksiz satırları silin.
  Ftp Programlarından oluşturulma tarihlerini sondan başa sıralayarak yeni dosyaların çalışma saatlerinize uyup uymadığını kontrol edin. Hangi sayfalar çalıştığında bu dosyalar oluşuyor takibini yapın.

• Kötü Amaçlı Faaliyetler:

  • Zararlı Yazılım Yükleyicileri: AI'ın bilerek veya bilmeyerek önerdiği kod parçalarının, sunucuda kötü amaçlı yazılımı (örneğin, fidye yazılımı veya solucanları) indiren/oluşturan/çalıştıran komutları içermesi.

  • Arka Kapı (Backdoor): Sunucuya kalıcı erişim sağlamak için gizlice dosya (web kabukları, kimlik doğrulama atlatma dosyaları) oluşturan kod önerileri.

4. Güvenlik ve Önlemler

• Kod İncelemesi (Code Review): Yapay zeka tarafından üretilen her kod satırının bir insan geliştirici tarafından dikkatlice incelenmesi ve onaylanması.

• Statik Analiz Araçları (SAST): Güvenlik açıklarını tespit etmek için otomatik araçların kullanılması.

• Sunucu İzleme: Anormal dosya oluşturma, beklenmedik işlemler veya aşırı kaynak tüketimi gibi olağan dışı sunucu hareketlerinin sürekli izlenmesi.

• Eğitim ve Farkındalık: Geliştiricilerin, AI kod yardımcılarının potansiyel güvenlik riskleri hakkında eğitilmesi.

5. Sonuç: Dikkatli Olmak Şart

• Özet: Yapay zeka kod üreticileri güçlü araçlardır, ancak geliştiricilerin nihai güvenlik sorumluluğunu taşımaya devam etmeleri gerekir. Hız için güvenlikten ödün verilmemelidir.

• Ana Mesaj: "Üretilen koda güven, ancak onu doğrula."