AI ile Kod Yazarken Güvenliği Unutmak: Sağlık Sektöründe Yaşanan Felaket

AI kod üretme araçları harika bir vaatte sunuluyor: yazılım geliştirme artık herkes için erişilebilir. Kilit tutma yok, karmaşık mimariler yok. Sadece istediğini anlat, Enter'a bas ve hazır—çalışan bir uygulama ortaya çıkıyor.

Peki ya birisi bu vaadi harfiyen alıp hasta verilerine uygulamaya karar verirse ne olur?

Başlangıç: Kolaylık Yerine Bilgi Eksikliği

Şöyle bir senaryoyu düşün: Sağlık sektöründe çalışan biri, yapay zekanın yazılım geliştirmeye getirdiklerini gösteren bir sunum izliyor. Mesaj açık: neden pahalı, endüstri standardı bir hasta yönetim sistemi kullanaysın ki, bunu bir öğleden sonrada kendin yazabileceğini keşfettiğinde?

İşte yapıyor işte. AI kod aracını açıyor, sıfırdan bir hasta yönetim uygulaması oluşturuyor, mevcut hasta kayıtlarını buraya taşıyor ve internete yayınlıyor. Üstüne bir de fiyakalı özellik ekliyor: otomatik konuşma kaydı ve iki ayrı harici API'den AI destekli yazı dönüştürme.

Kağıtsız. Modern. Otomatlı.

Aynı zamanda: başlamak üzere olan bir felaket.

Keşif: 30 Dakikada Tam Kontrol Kaybı

Güvenlik araştırmacı Tobias Brunner bu uygulamayı incelemeye başladığında, özel araçlara ya da aylarca çalışmaya ihtiyaç duymadı. Sadece 30 dakikada sistemi rahatça inceledikten sonra, tüm hasta kayıtlarına okuma ve yazma erişimini ele geçirmişti.

Şifreleme yok. Erişim kontrolü yok. Hiçbir güvenlik mekanizması yok.

Aslında "uygulama" diye anılan şey tek bir HTML dosyasından oluşuyordu—tüm JavaScript, stil ve iş mantığı aynı dosyanın içinde karışmış haldeydi. Arka taraf veritabanının ise hiçbir kimlik doğrulama ayarı yapılmamıştı—satır seviyesi güvenlik yok, izin kontrolleri yok, hiçbir şey yok. Erişim kontrollüne benzeyen her şey tarayıcı tarafında JavaScript'te yaşıyordu. Bu, herhangi biri basit bir curl komutuyla tüm güvenliği atlatabilirdi anlamına geliyordu.

Hasta verisi mi istiyorsun? Doğrudan API'den iste. Kayıtları değiştirmek mi istiyorsun? Aynı yöntem işe yarar. Kötü niyetli birisiyle tam tıbbi veri hırsızlığı arasında sadece birşey vardı: henüz kimse bakmamıştı.

Kötü Mimarinin Ötesinde: Yasal İhlaller

İşte burada durum daha da kötüleşiyor. Bu sadece çöp kod değildi—potansiyel olarak yasa dışıydı.

Hasta ses kayıtları doğrudan Amerika merkezli AI servisleri aracılığıyla yazıya dönüştürülüyordu. Hiçbir veri işleme sözleşmesi yoktu. Veriler hiçbir uyum çerçevesi olmadan ABD sunucularında tutuluyordu. Yargı yetkisine bağlı olarak (bu olay İsviçre sağlık hukuku bağlamında yaşandı), bu tıbbi gizlilik düzenlemeleri ve mesleki sır saklama yasalarının ihlal edilmesi anlamına geliyordu.

Sistemi kuran kişi ne yarattığından habersizdi. Güvenlik araştırmacıları ihlali bildirdiklerinde, AI tarafından oluşturulmuş bir yanıt aldılar—teşekkürler ve "hemen harekete geçtik, basit bir kimlik doğrulama ekledik" iddiası.

Bu çözüm değildi. Bu temelden hatalı bir yaklaşım üzerine uydurulmuş yamacıydı.

"Vibe Kodlama" Problemi

Bu hikaye, AI geliştirici araçlarının pazarlama mesajlarında sık tartışılmayan birşeyi gösteriyor: AI destekli geliştirme ile AI destekli "hissiyata göre kod yazmak" arasında dev bir fark vardır.

AI kod araçları gerçekten kullanışlı. Geliştirmeyi hızlandırabilirler, şablon kodu halledilebilirler, rutin işleri verimli şekilde yapabilirler. Ama şartı var: yazılım mimarisi, güvenlik temelleri ve bulunduğun alandaki düzenleyici ortamı anlayan birinin elinde en iyi şekilde çalışırlar.

AI araçları çalışan kod üretmekte harika. Ama o kodun olması gerekip gerekmediğini ya da uygulamanı hangi veri koruma kurallarının etkileyeceğini anlamakta berbat.

"Vibe Kodlama" Aslında Ne Demek?

"Vibe kodlama" temelde doğal dil komutlarıyla yazılım geliştirmek ve arka tarafta neler olup bittiğini anlamadan yazılımı hayata geçirmek demek. Istediğini tarif et, AI kod üret, iyice okuma, yayınla.

Kendi projen içinse? Belki de sorun olmaz. Finansal veri işleyen bir sistem mı? Hasta kayıtları mı? Herhangi birinin kişisel bilgisini içeren bir şey mi? Bu yaklaşım saçmalıktır.

Sorun AI kod üretimi değil. Sorun bunu yazılım mühendisliği yargısının yerine koymaktır.

Düzgün Yapı Kurmak

AI araçlarını geliştirme akışında kullanıyorsan—açıkçası kim kullanmıyor artık—işte aslında önemli olan şeyler:

Kodu oku. AI düzgün çözümler üretebilir ama ne olup bittiğini anlamış olmalısın. Mimari kararlar, veri akışı, güvenlik sınırları—bunlar hiçbir zaman sana karanlık olmamalı.

Alanını tanı. Sağlık yazılımı yapıyorsan HIPAA, GDPR veya ilgili kuralları öğren. Ödeme işliyorsan PCI DSS'i anla. AI bunu senin için yapmayacak.

Sorumlulukları ayır. Kimlik doğrulama ve yetkilendirme sunucu tarafında kalmalı, JavaScript'te değil. Önemli veriler şifrelenmeli. Harici API'ler kontrol edilip uygun sözleşmeleri yapılmalı.

İspat edilmiş kalıplarla başla. Bir AI'nın sıfırdan yeni birşey üretmesine izin vermektense, sektör standardı mimarileri ve framework'leri kullan. Sıkıcı, uzun yıllar test edilmiş teknoloji var olması boşuna değildir.

Güvenlik pazarlık konusu değil. Bu ileride ekleyeceğin bir özellik değil. Temellere dönük birşeydir. Bunu nasıl yapacağını bilmiyorsan, o sistem için yeterli bilgi sahibi değilsin demektir.

Gerçekten İstediğimiz Gelecek

AI kodlama araçları gerçekten oyunu değiştirebilir. Deneyimli geliştiriciyi daha hızlı yapar. Yazılım yapımının bazı yönlerini herkese açıyor.

Ama sorumluluğu açmıyor.

Alandığını anladığında AI'yı iş hızlandırmak için kullanmak? Harika. AI'yı ne yaptığını anlama ihtiyacından tamamen kurtulmak için kullanmak? İşte bu şekilde açığa çıkmış hasta kayıtlarına ve düzenleme sorunlarına varıyorsun.

AI destekli geliştirmenin geleceği, bu araçları yetenek çarpanı olarak kullanan ekiplere ve bireylere ait. Yetenek yerine kullananlara değil. Ve bu, dikkatle, planlı ve gözlerin açık şekilde kurulması gereken bir gelecek.

Geliştirme akışında AI araçlarını kullanıyor musun? Altyapını iddiaların kemiğine oynayan bir sistem haline getir. NameOcean'ın bulut platformu, güvenliği hız kadar önemli bilen modern geliştirici ekipleri için tasarlandı.