Tüm kodlama sorunları yapay zeka kaynaklı değil. Salı günü Anthropic, “insan hatası” nedeniyle meydana gelen bir sızıntının, amiral gemisi yapay zeka kodlama asistanı Claude Code’un temelini oluşturan 500 bin satırlık kaynak kodunu ortaya çıkardığını açıkladı. Şirket, sızıntının hassas müşteri verilerini ya da yapay zeka modellerini etkilemediğini ancak Anthropic’in aracın kullanıcı arayüzünü nasıl oluşturduğuna dair bazı ayrıntıları açığa çıkardığını söyledi. Çarşamba gününe gelindiğinde Anthropic, GitHub’da paylaşılan sekiz bin kopyayı kaldırmak için telif hakkı ihlal bildirimleri kullandı.
Bu Anthropic için kötü bir görüntü oluşturuyor. Şubat ayı itibarıyla yıllıklandırılmış 2,5 milyar dolar gelir getiren Claude Code, şirkete rakiplerine karşı avantaj kazandırmış ve işini büyütmesine yardımcı olmuştu. Daha da kötüsü, bu olay Anthropic’in aynı hafta içindeki ikinci sızıntısı. The Information’ın haberine göre şirket pazartesi günü yanlışlıkla bir blog yazısı yayımlayarak bir sonraki büyük model güncellemesi olan Claude Mythos’u, duyurdu.
Claude Code olayı insan hatasından kaynaklansa da güvenlik ihlalleri tekil olaylar değil. TechCrunch’ın haberine göre veri etiketleme girişimi Mercor, açık kaynaklı LiteLLM projesiyle bağlantılı bir güvenlik olayından etkilendiğini doğruladı. Lapsus$ adlı bir grup, veri etiketleyicilere ait e-postalar, telefon numaraları ve özgeçmişler gibi verilere ve ayrıca kaynak koda eriştiğini iddia etti ancak bu verilerin gerçekten ihlalden etkilenip etkilenmediği belirsizliğini koruyor. Yapay zeka ajanları kod yazıp yazılım dağıttıkça bu tür saldırıların daha yaygın hale gelmesi kaçınılmaz. Bunu yapay zeka odaklı VC şirketi Conviction’ın kurucusu Sarah Guo, X’teki bir paylaşımında dile getirdi.
Kodları yapay zeka yazıyor, insanlar hataların nedenini bilmiyor
Guo buna “karanlık kod” diyor. Yapay zekadan önce, tüm kodlar insanlar tarafından yavaş ve bilinçli şekilde yazılırken, programcılar inşa ettikleri sistemleri derinlemesine anlamak zorundaydı. Ancak artık yapay zeka ajanları çok hızlı kod yazdığından, kimse kodu ya da ajanın aldığı kararları tam olarak anlamıyor. Bu da bir veri sızıntısının veya güvenlik olayının neden meydana geldiğini tespit etmeyi zorlaştırıyor. Kodlama ajanları araçları seçip planları gerçek zamanlı yürüttüğü için onların akıl yürütmelerine ve attıkları adımlara dair dokümantasyon ortadan kaybolabiliyor. Bu da sistemin güvenliğini sağlamakta zorluk yaratıyor. Ayrıca yapay zeka sayesinde ürün yöneticileri ya da pazarlamacılar gibi teknik olmayan çalışanlar bile karmaşık yazılımlar üretebiliyor ve geleneksel güvenlik kontrollerini aşabiliyor.
Guo, “Tam olarak ne inşa ettiğini anlamadan ürünü piyasaya sürmek bir karakter kusuru değil. Bugün rekabet etmenin yolu bu” ifadesini kullandı. Birçok siber güvenlik girişimi, sistemleri kötü niyetli tehditlere karşı koruma fırsatını değerlendirmek için harekete geçiyor. Kısa süre önce 120 milyon dolar yatırım toplayan Depthfirst gibi pek çoğu, diğer yapay zeka ajanlarının yarattığı güvenlik açıklarına karşı yine ajanlar kullanıyor.