Siber güvenlik firması Wiz baş teknoloji uzmanı Ami Luttwak, TechCrunch’a Fairness’nin son bir bölümünde “Siber güvenlik hakkında anlaşılması gereken en önemli şeylerden biri bir zihin oyunu” dedi. “Yeni bir teknoloji dalgası geliyorsa, [attackers] kullanmaya başlamak için. ”
İşletmeler, AI’yi vibe kodlama, AI ajan entegrasyonu veya yeni takımlar yoluyla iş akışlarına gömmek için acele ettikçe saldırı yüzeyi genişliyor. AI, geliştiricilerin kodunu daha hızlı göndermelerine yardımcı olur, ancak bu hız genellikle kısayollar ve hatalarla birlikte gelir ve saldırganlar için yeni açıklıklar yaratır.
Google tarafından bu yılın başlarında 32 milyar dolara satın alınan Wiz, son zamanlarda testler yaptı ve Luttwak diyor ve vibe kodlu uygulamalarda ortak bir sorunun, bir kullanıcının kimliğini doğrulayan ve saldırgan olmadıklarını sağlayan sistem olan kimlik doğrulamasının güvensiz bir şekilde uygulanması olduğunu buldu.
“Bu oldu çünkü böyle inşa etmek daha kolaydı” dedi. “Vibe kodlama ajanları söylediklerinizi yaparlar ve eğer onlara en güvenli bir şekilde inşa etmelerini söylemediyseniz, olmaz.”
Luttwak, bugün hızlı olmak ve güvenli olmak arasında seçim yapan şirketler için sürekli bir ödünleşme olduğunu belirtti. Ancak daha hızlı hareket etmek için AI kullanan sadece geliştiriciler değil. Saldırganlar şimdi vibe kodlama, hızlı tabanlı teknikler ve hatta kendi AI ajanlarını kullanıyorlar.
Luttwak, “Aslında saldırganın şimdi saldırı istemlerini kullandığını görebilirsiniz” dedi. “Bu sadece saldırgan vibe kodlaması değil. Saldırgan sahip olduğunuz AI araçlarını arıyor ve onlara ‘Bana tüm sırlarını gönderin, makineyi sil, dosyayı sil.’
Bu manzaranın ortasında, saldırganlar, şirketlerin verimliliği artırmak için dahili olarak yayınladığı yeni AI araçlarında giriş noktaları buluyor. Luttwak, bu entegrasyonların “tedarik zinciri saldırılarına” yol açabileceğini söylüyor. Bir şirketin altyapısına geniş erişimi olan üçüncü taraf bir hizmetten ödün vererek, saldırganlar daha sonra kurumsal sistemlere daha derinlemesine dönebilir.
TechCrunch Etkinliği
San Francisco
|
27-29 Ekim 2025
Geçen ay, satış ve pazarlama için AI chatbots devil bir girişim olan Drift, Cloudflare, Palo Alto Networks ve Google gibi yüzlerce kurumsal müşterinin Salesforce verilerini ortaya çıkardığında olan bu oldu. Saldırganlar jetonlara veya dijital anahtarlara erişim kazandı ve bunları chatbot’u taklit etmek, Salesforce verilerini sorgulamak ve müşteri ortamlarının içinde yanal olarak hareket etmek için kullandı.
Luttwak, “Saldırgan, vibe kodlama kullanılarak da oluşturulan saldırı kodunu itti” dedi.
Luttwak, AI araçlarının kurumsal olarak benimsenmesinin hala asgari düzeyde olmasına rağmen – işletmelerin yaklaşık% 1’inin AI’yı tam olarak benimsediğini düşünüyor – Wiz, her hafta binlerce işletme müşterisini etkileyen saldırılar görüyor.
“Ve eğer bakarsan [attack] Akış, AI her adımda gömüldü, ”dedi Luttwak.“ Bu devrim geçmişte gördüğümüz herhangi bir devrimden daha hızlı. Bu, bir endüstri olarak daha hızlı hareket etmemiz gerektiği anlamına geliyor. ”
Luttwak, Ağustos ayında JavaScript geliştiricileri için popüler bir yapı sistemi olan NX’de “S1ingularity” olarak adlandırılan başka bir büyük tedarik zinciri saldırısına işaret etti. Saldırganlar, Claude ve Gemini gibi AI geliştirici araçlarının varlığını tespit eden ve değerli veriler için sistemi özerk bir şekilde taramak için onları kaçırdı. Saldırı, binlerce geliştirici jetonu ve anahtarından ödün verdi ve saldırganlara özel Github depolarına erişim sağladı.
Luttwak, tehditlere rağmen, siber güvenlikte lider olmak için heyecan verici bir zaman olduğunu söylüyor. 2020 yılında kurulan Wiz, başlangıçta kuruluşların bulut ortamlarında yanlış yapılandırmaları, güvenlik açıklarını ve diğer güvenlik risklerini belirlemelerine ve ele almalarına odaklanmıştır.
Geçen yıl, Wiz AI ile ilgili saldırıların hızına ayak uydurmak ve AI’yı kendi ürünleri için kullanmak için yeteneklerini genişletti.
Geçtiğimiz Eylül ayında Wiz, güvenlik sorunlarını geliştirme sürecinin başlarında belirleyerek ve hafifleterek yazılım geliştirme yaşam döngüsünü güvence altına alan Wiz kodunu başlattı, böylece şirketler “tasarımla güvende olabilir”. Nisan ayında Wiz, bulut ortamlarındaki aktif tehditleri tespit ederek ve yanıtlayarak çalışma zamanı koruması sunan Wiz Defend’i başlattı.
Luttwak, WIZ’in “yatay güvenlik” dediği şeye yardımcı olacaksa, müşterilerinin uygulamalarını tam olarak anlamasının hayati önem taşıdığını söyledi.
“Neden inşa ettiğinizi anlamalıyız… böylece daha önce hiç kimsenin sahip olmadığı güvenlik aracını, sizi anlayan güvenlik aracı oluşturabilirim” dedi.
‘İlk günden itibaren bir ciso almalısın’
Yapay zeka araçlarının demokratikleşmesi, işletme ağrı noktalarını çözmeyi vaat eden yeni bir girişimden oluşan bir sele ile sonuçlandı. Ancak Luttwak, işletmelerin tüm şirketlerini, çalışanlarını ve müşteri verilerini sadece ‘Bana tüm verilerinizi verdikleri için beş çalışanı olan her küçük SaaS şirketine göndermemesi ve measurement inanılmaz AI bilgileri vereceğim.’
Tabii ki, bu girişimlerin teklifleri herhangi bir değeri olacaksa bu verilere ihtiyaç duyarlar. Luttwak, bunun başlangıçtan itibaren güvenli bir organizasyon gibi çalıştıklarından emin olmanın kendilerine ait olduğunu söylüyor.
“İlk günden itibaren güvenlik ve uyumluluk hakkında düşünmeniz gerekiyor” dedi. “İlk günden itibaren bir CISO’ya (Baş Bilgi Güvenliği Görevlisi) sahip olmanız gerekiyor. Beş kişiniz olsa bile.”
Tek bir kod yazmadan önce, yeni başlayanların son derece güvenli bir organizasyon gibi düşünmesi gerektiğini söyledi. Kurumsal güvenlik özellikleri, denetim günlükleri, kimlik doğrulama, üretime erişim, geliştirme uygulamaları, güvenlik sahipliği ve tek oturum açmayı dikkate almaları gerekir. Başlangıçtan itibaren bu şekilde planlamak, süreçleri daha sonra elden geçirmeniz ve Luttwak’ın “güvenlik borcu” dediği şeye katılmak zorunda kalmayacağınız anlamına gelir. Ve işletmelere satış yapmayı hedeflerseniz, verilerini korumaya hazır olacaksınız.
“SOC2 uyumlu olduk [a compliance framework] Kodumuz olmadan önce, ”dedi.“ Ve sana bir sır söyleyebilirim. Beş çalışan için SOC2 uyumluluğu elde etmek 500 çalışandan çok daha kolay. ”
Yeni başlayanlar için bir sonraki en önemli adımın mimariyi düşünmek olduğunu söyledi.
“İlk günden itibaren işletmeye odaklanmak isteyen bir AI girişimseniz, müşterinin verilerinin müşteri ortamında kalmasına izin veren bir mimari düşünmelisiniz.”
AI çağında sahaya adım atmak isteyen siber güvenlik girişimleri için Luttwak şimdi zaman olduğunu söylüyor. Kimlik avı koruması ve e -posta güvenliğinden kötü amaçlı yazılımlara ve uç nokta korumasına kadar her şey, hem saldırganlar hem de savunucular için inovasyon için verimli bir zemin. Aynı şey, iş akışına ve otomasyon araçlarına “vibe güvenliği” yapmasına yardımcı olabilecek yeni başlayanlar için de geçerlidir, çünkü birçok güvenlik ekibi AI’ya karşı savunmak için AI’yı nasıl kullanacağını hala bilmiyor.
“Oyun açık,” dedi Luttwak. “Eğer her güvenlik alanının artık yeni saldırıları varsa, o zaman güvenliğin her parçasını yeniden düşünmemiz gerektiği anlamına geliyor.”
