Yapay zekâ ile üretilen kodun güvenlik zafiyeti incelemesi
Security vulnerability analysis of code generated with artificial intelligence
- Tez No: 961577
- Danışmanlar: DR. ÖĞR. ÜYESİ ÖZGÜR CAN TURNA
- Tez Türü: Yüksek Lisans
- Konular: Bilgisayar Mühendisliği Bilimleri-Bilgisayar ve Kontrol, Computer Engineering and Computer Science and Control
- Anahtar Kelimeler: Belirtilmemiş.
- Yıl: 2025
- Dil: Türkçe
- Üniversite: İstanbul Üniversitesi-Cerrahpaşa
- Enstitü: Lisansüstü Eğitim Enstitüsü
- Ana Bilim Dalı: Bilgisayar Mühendisliği Ana Bilim Dalı
- Bilim Dalı: Bilgisayar Mühendisliği Bilim Dalı
- Sayfa Sayısı: 61
Özet
Bu tez çalışmasında, yapay zekâ tabanlı kod üretim araçlarının yazılım güvenliği açısından oluşturabileceği riskler ve zafiyetler kapsamlı bir şekilde incelenmiştir. Son yıllarda bilişim ve yazılım sektöründe yaşanan hızlı dijital dönüşüm sayesinde, büyük dil modelleri (LLM'ler) ve yapay zekâ teknolojileri yazılım geliştirme süreçlerinde önemli bir yer edinmiştir. Github Copilot, ChatGPT ve Cursor AI gibi modern kod üretim araçları, yazılımcılara hız ve verimlilik kazandırmakta; fakat üretilen kodların güvenliği konusunda çeşitli belirsizlikler ve potansiyel riskler ortaya çıkarmaktadır. Bu çalışmada, 2024 yılı CWE Top 25 listesinde yer alan en yaygın güvenlik zafiyetleri temel alınarak, her bir zafiyet türü için üç farklı programlama dilinde (C#, Python, TypeScript) ve her bir dilde onar adet olmak üzere toplamda yüzlerce kod örneği, seçili yapay zekâ araçlarıyla ürettirilmiştir. Elde edilen kodlar, hem otomatik güvenlik analiz araçlarıyla hem de manuel olarak incelenmiş ve ortaya çıkan güvenlik açıkları CWE ve OWASP kriterlerine göre ayrıntılı şekilde değerlendirilmiştir. Analiz sonuçlarına göre, en sık karşılaşılan güvenlik açıkları çapraz site betikleme (XSS), SQL enjeksiyonu ve yetkilendirme eksiklikleridir. Kod örneklerinin yaklaşık dörtte birinde kritik seviyede güvenlik riski tespit edilmiştir. Ayrıca, farklı yapay zekâ araçlarının güvenlik performanslarında belirgin farklılıklar olduğu, bazı araçların belirli zafiyetlere karşı daha duyarlı olduğu görülmüştür. Sonuç olarak, yapay zekâ destekli kod üretiminin yazılım projelerinde sağladığı hız ve pratiklik önemli olsa da, güvenlik riskleri göz ardı edilmemelidir. AI ile üretilen kodların insan gözetiminde ve kapsamlı güvenlik testlerinden geçirilerek kullanılması, güvenli ve sürdürülebilir yazılım geliştirme için kritik bir gerekliliktir.
Özet (Çeviri)
In this thesis, the security risks and vulnerabilities associated with artificial intelligence-based code generation tools are comprehensively examined. In recent years, the rapid digital transformation in the information technology and software sectors has led to the widespread adoption of large language models (LLMs) and artificial intelligence technologies in software development processes. Modern code generation tools such as GitHub Copilot, ChatGPT, and Cursor AI offer significant speed and efficiency gains for developers; however, they also introduce uncertainties and potential risks regarding the security of the generated code. In this study, the most common security vulnerabilities listed in the 2024 CWE Top 25 were taken as a reference. For each vulnerability type, hundreds of code samples were generated using selected AI tools in three different programming languages (C#, Python, and TypeScript), with ten samples per language for each vulnerability. The generated codes were subjected to both automated security analysis tools and manual review, and the detected security issues were evaluated in detail according to CWE and OWASP criteria. The analysis revealed that the most frequently observed vulnerabilities were cross-site scripting (XSS), SQL injection, and authorization weaknesses. Approximately one-fourth of the code samples contained critical security risks. Furthermore, it was observed that there are notable differences in the security performance of different AI tools, with some tools being more prone to certain vulnerabilities. In conclusion, while AI-assisted code generation provides substantial speed and convenience in software projects, security risks must not be overlooked. Code generated by AI should always be reviewed by humans and subjected to comprehensive security testing to ensure the development of secure and sustainable software.
Benzer Tezler
- Path planning with hybrid use of artificial intelligence algorithms in autonomous mobile vehicles
Otonom mobil araçlarda yapay zeka algoritmalarının hibrit kullanımı ile rota planlaması
AHMET AKTAŞ
Yüksek Lisans
İngilizce
2022
Makine Mühendisliğiİstanbul Teknik ÜniversitesiMakine Mühendisliği Ana Bilim Dalı
PROF. DR. İLKER MURAT KOÇ
- Applicatioon of compütational intelligence methods to in-core fuel management
Hesaplamalı zeka metodlarının kalp içi yakıt yönetimine uygulanması
ADEM ERDOĞAN
- A refined methodology tor model-based FPGA hardware design: An example of quadrotor dynamical model implementation
Model tabanlı FPGA donanımı tasarımında iyileştirilmiş bir yöntem sistemi: Bir dört rotorlu için dinamik model gerçekleme örneği
SEZER MEMİŞ
Yüksek Lisans
İngilizce
2023
Elektrik ve Elektronik Mühendisliğiİstanbul Teknik ÜniversitesiSavunma Teknolojileri Ana Bilim Dalı
DR. ÖĞR. ÜYESİ RAMAZAN YENİÇERİ
- COLREGs-compliant and non-prioritized motion planning for autonomous unmanned surface vehicles
Otonom insansız deniz araçları için COLREG-uyumlu ve önceliksiz hareket planlaması
MUSTAFA BAYRAK
Yüksek Lisans
İngilizce
2023
Elektrik ve Elektronik Mühendisliğiİstanbul Medeniyet ÜniversitesiElektrik-Elektronik Mühendisliği Ana Bilim Dalı
DR. ÖĞR. ÜYESİ HALUK BAYRAM
- Tarihi pigmentlerin yapay zeka ile tespiti
Detection of historical pigments with artificial intelligence
BENGİN BİLİCİ GENÇ
Doktora
Türkçe
2024
ArkeolojiAnkara Hacı Bayram Veli ÜniversitesiKültür Varlıklarını Koruma Ana Bilim Dalı
PROF. DR. BEKİR ESKİCİ
DOÇ. DR. GAZİ ERKAN BOSTANCI