Sunucuda kendi kendine oluşan dosyalar ve CoPilot un zararlı kod üretmesi üzerine

• Rıza Güngör
• Tarih : 2025-10-18
• Kategori : Web Programlama

. Giriş: Yapay Zeka Devrimi ve Gizli Tehlikeler

• Kısa Özet: Geliştirme süreçlerini hızlandıran VS Code/GitHub Copilot gibi yapay zeka (AI) kod yardımcılarının yükselişi.

• Sorun: AI'ın ürettiği kodlardaki güvenlik zafiyetleri ve bunun sunucu sistemleri üzerindeki beklenmedik etkileri (örneğin, sunucuda kendi kendine oluşan dosyalar).

• Bahsedilen Model: (bahsettiğim gibi, Copilot'ın arkasındaki modelin potansiyel güvenlik riskleri bağlamında "Cloudesonet 3.7 ve 4" modellerine genel bir referans).
  
  

2. Yapay Zeka Kod Üreticilerinin Güvenlik Açığı Potansiyeli

• Eğitim Verisi Sorunu: Copilot gibi araçların, halka açık depolardaki kodlarla eğitilmesi. Bu veri setleri, zararlı veya güvenlik açığı barındıran kod parçaları içerebilir.

• "Zararlı Kod" Üretimi: AI modelinin, bağlamı tam olarak anlamadan veya güvenlik önceliklendirmesi yapmadan güvenli olmayan desenler önermesi. (Örnek: SQL enjeksiyonu, hassas verilerin açığa çıkması).

• Gizlilik Riskleri: AI'ın, daha önce gizlenmiş veya silinmiş kod depolarındaki hassas bilgileri (API anahtarları vb.) yanıt olarak döndürme potansiyeli.

3. Sunucuda Kendi Kendine Oluşan Dosyaların İki Yüzü

• Meşru Sebepler: Kodun kendisinin (AI tarafından üretilmiş olsa bile) bir parçası olarak geçici dosyaların, logların, önbelleklerin veya yapılandırma dosyalarının oluşturulması (normal işletim).

• Kötü Amaçlı Faaliyetler:

  • Zararlı Yazılım Yükleyicileri: AI'ın bilerek veya bilmeyerek önerdiği kod parçalarının, sunucuda kötü amaçlı yazılımı (örneğin, fidye yazılımı veya solucanları) indiren/oluşturan/çalıştıran komutları içermesi.

  • Arka Kapı (Backdoor): Sunucuya kalıcı erişim sağlamak için gizlice dosya (web kabukları, kimlik doğrulama atlatma dosyaları) oluşturan kod önerileri.

4. Güvenlik ve Önlemler

• Kod İncelemesi (Code Review): Yapay zeka tarafından üretilen her kod satırının bir insan geliştirici tarafından dikkatlice incelenmesi ve onaylanması.

• Statik Analiz Araçları (SAST): Güvenlik açıklarını tespit etmek için otomatik araçların kullanılması.

• Sunucu İzleme: Anormal dosya oluşturma, beklenmedik işlemler veya aşırı kaynak tüketimi gibi olağan dışı sunucu hareketlerinin sürekli izlenmesi.

• Eğitim ve Farkındalık: Geliştiricilerin, AI kod yardımcılarının potansiyel güvenlik riskleri hakkında eğitilmesi.

• .htaccess dosyasına dikkat! Forbidden hatası alabilirsiniz bunu siz oluşturmadıysanız inceleyin gereksiz satırları silin.
• Ftp Programlarından oluşturulma tarihlerini sondan başa sıralayarak yeni dosyaların çalışma saatlerinize uyup uymadığını kontrol edin. Hangi sayfalar çalıştığında bu dosyalar oluşuyor takibini yapın.

5. Sonuç: Dikkatli Olmak Şart

• Özet: Yapay zeka kod üreticileri güçlü araçlardır, ancak geliştiricilerin nihai güvenlik sorumluluğunu taşımaya devam etmeleri gerekir. Hız için güvenlikten ödün verilmemelidir.

• Ana Mesaj: "Üretilen koda güven, ancak onu doğrula."