Yapay Zeka ile Geliştirilen Uygulamalarda Güvenlik Açıkları Gündemde
Yapay zekâ destekli uygulamaların güvenlik açıkları, teknoloji dünyasında önemli tartışmalara yol açmaya devam ediyor. Vibe-coding platformu Lovable, kullanıcıların uygulama yayınlamadan önce güvenlik sorunlarını çözme sorumluluğunu üstlendiğini belirtmesine rağmen, ciddi güvenlik açıkları barındıran uygulamalarla suçlanıyor.
Yazılım mühendisliği geçmişine sahip teknoloji girişimcisi Taimur Khan, Lovable platformunda 18.000’den fazla kullanıcının verilerini sızdıran bir uygulamada 16 güvenlik açığı tespit etti. Bu açıkların altısının kritik seviyede olduğunu vurgulayan Khan, uygulamanın adını açıklamadan, Lovable’ın Discover sayfasında sergilendiğini ifade ediyor. İnceleme sürecinde söz konusu uygulama, 100.000’den fazla görüntüleme ve yaklaşık 400 beğeni almıştı.
Söz konusu güvenlik sorunlarının temelinde, Lovable platformunda geliştirilen uygulamaların arka uç işlemlerinin Supabase tarafından desteklenmesi yatıyor. Supabase’in sağladığı kimlik doğrulama, dosya depolama ve gerçek zamanlı güncellemeler gibi kritik güvenlik özelliklerinin yeterince uygulanmaması, yapay zekâ ile üretilen kodların güvenliğini tehlikeye atıyor.
Yapay Zeka Hataları ve Güvenlik Riskleri
Proje sahipleri, Supabase’in satır düzeyi güvenliğini yeterince uygulamadıkları takdirde, kod işlevsel görünse de güvenlik açısından zayıf hale geliyor. Khan, bu durumun bir örneği olarak hatalı yapılandırılmış kimlik doğrulama işlevini gösteriyor. Yapay zekâ tarafından kodlanan erişim kontrol mantığı, kayıtlı kullanıcıları engellerken kimliği doğrulanmamış kişiler için erişim izni veriyor. Khan, bu hatanın yönetici olmayanların belirli bölümlere erişimini engellemeyi amaçladığını ancak uygulamanın tüm giriş yapmış kullanıcıları engellediğini belirtiyor.
Khan, durumu şu sözlerle özetliyor: “Bu tam tersi bir durum. Muhafız, izin vermesi gereken kişileri engelliyor ve engellemesi gereken kişilere izin veriyor. Bir insan güvenlik denetçisinin saniyeler içinde fark edeceği klasik bir mantık tersyüzü; ancak ‘çalışan kod’ için optimize edilen bir yapay zekâ kod üreteci, bunu üretip yayına aldı.”
Sızan Verilerin Kapsamı ve Kullanıcı Profili
Söz konusu uygulamanın sınav soruları oluşturma ve not görüntüleme platformu olduğu için kullanıcı kitlesi büyük ölçüde öğretmenler ve öğrencilerden oluşuyor. Bu kullanıcılar arasında UC Berkeley ve UC Davis gibi prestijli üniversitelerin yanı sıra, reşit olmayan öğrencilerin bulunduğu ilk ve orta öğretim kurumları da yer alıyor. Mevcut güvenlik açıkları nedeniyle, saldırganlar tüm kullanıcı kayıtlarına erişim sağlayabiliyor, toplu e-posta gönderebiliyor, hesapları silebiliyor veya öğrencilerin sınavlarını notlandırabiliyor.
- Toplam İfşa Olan Kullanıcı Kaydı: 18.697
- Benzersiz E-posta Adresi: 14.928
- Öğrenci Hesapları: 4.538
- Kurumsal Kullanıcılar: 10.505
- Tam Kişisel Verisi İfşa Olanlar: 870
Sorumluluk Tartışmaları ve Platformun Yanıtı
Yapay zekâ ile üretilen kodların %45’inin güvenlik kusurları içerdiği bilgisi, Khan’ın platformun bu konuda sorumluluk alması gerektiğini savunmasına yol açtı. Khan, bulgularını şirket destek birimine ilettiğinde talebinin yanıtsız bırakıldığını iddia ediyor ve şu şekilde konuşuyor: “Lovable, kendisini kimlik doğrulaması ‘dahil’ üretime hazır uygulamalar üreten bir platform olarak pazarlayacaksa, ürettiği ve tanıttığı uygulamaların güvenlik duruşu için bir miktar sorumluluk taşır.“
Lovable’ın CISO’su Igor Andriushchenko, düzgün bir ifşa raporunun kendilerine 26 Şubat akşamı ulaştığını ve çok kısa bir süre içinde harekete geçtiklerini belirtiyor. Andriushchenko, her projenin yayınlanmadan önce ücretsiz bir güvenlik taramasından geçtiğini ve bu süreçte tespit edilen açıklar için çözüm önerileri sunulduğunu ifade ediyor. Ancak bu vakada uygulamanın gerekli adımların atılmadığı ve bu proje ile ilişkili kodların Lovable tarafından üretilmediği belirtiliyor. Şu an sorunu çözmek için uygulama geliştiricisi ile iletişim halinde olduklarını ekliyorlar.
