Teknoloji

Yapay zekâ ile inşa edilen 380.000 uygulamanın taraması, binlercesinde hiçbir kimlik doğrulamasının bulunmadığını ortaya çıkardı

Yapay zekâ ile inşa edilen 380.000 uygulamanın taraması, binlercesinde hiçbir kimlik doğrulamasının bulunmadığını ortaya çıkardı
Susan Hill
8 Mayıs 2026 - 18:46

Vibe-coding’in 2023’ten beri sattığı vaat hep aynıydı — herkes bir uygulama yapabilir. RedAccess’in yeni taraması, bu vaadin ilk gerçek hesabını masaya koyuyor. Yapay zekâ tabanlı kodlama araçlarıyla inşa edilip Netlify gibi servisler üzerinden yayına alınan yaklaşık 380.000 web uygulamasının yaklaşık 5.000’i hiçbir şekilde kimlik doğrulaması içermiyordu. Bu korumasız uygulamaların yaklaşık yüzde 40’ı hassas veri tutuyordu — kullanıcı bilgileri, sohbet kayıtları, ödeme verileri, kurumsal kimlik bilgileri. Bu rakamlar bu hafta WIRED, Axios ve Security Boulevard’a aynı anda düştü ve sektörün son iki yıldır sessizce biriktirdiği bir arıza kategorisini tarif ediyor.

Adı geçen üreteçler, herhangi bir geliştirici olmayan kişinin de tanıdığı platformlardır. Lovable, Replit, Base44 ve “bir prompt’tan inşa et” araçlarının daha geniş ekosistemi, başından beri aynı örtük vaadi satıyor — yapay zekâ yalnızca kod yazma işini değil, döngüde bulunması gereken mühendisi de devre dışı bırakır. Bir prompt seçersin, uygulamanın ortaya çıkışını izlersin, Netlify ya da Vercel üzerinden canlıya alırsın, bağlantıyı paylaşırsın. RedAccess’in tarama raporunun belgelediği şey, o döngüdeki hiç kimsenin “bu uygulamanın bir kilide ihtiyacı var mı?” sorusunu sormadan yayına çıkmış olan kod yığınıdır.

Açıklar incelikli değildir. Korumasız uygulamalar usta bir saldırgan istemiyordu — bir tarayıcı yetiyordu. Pek çoğu, Supabase veya Firebase anahtarlarını doğrudan istemci paketinin (client bundle) içine gömerek yayına alınmıştı; yani ilgilenen herhangi biri veri tabanını okuyabilir. Bir kısmı aynı veri tabanına yazma erişimi de veriyordu, dolayısıyla bir yabancı sizin kullanıcılarınızın kayıtlarını düzenleyebilir. Birkaçında yönetim uç noktaları doğrudan dışarıya açıktı. Bu arızanın kategorisi ne bir zero-day ne de yanlış yapılandırılmış uç bir durum. Güvenlik katmanının topyekûn yokluğudur.

Algoritmik Ruh Çağırma Seansı: Yas, Dataizm ve Sonluluğun Ölümü

Şüphe burada yerli yerinde, çünkü tüm suçu araçlara yıkma cazibesi büyük ve yalnızca yarısıyla doğru. Aynı uygulamayı sıfırdan, denetim olmadan kuran genç bir geliştirici de benzer bir şey yayınlardı. Fark hacimde. Vibe-coding araçları, eşiği o kadar aşağı çekiyor ki, kimlik doğrulaması üzerine bağımsız olarak akıl yürütemeyen insanların yayına aldığı uygulamaların toplam sayısı patladı. Bu araçlar teknik olarak kimlik doğrulama iskelesi (auth scaffolding) sunabilir, ama varsayılan akış bunu zorunlu kılmıyor; ve bu araçlardan en çok yararlanan kullanıcılar, bunun eksik olduğunu fark edebilecek donanımdan en yoksun olanlar. Lovable, kimlik doğrulama iskelesini varsayılan olarak etkinleştirmek için çalıştığını söylüyor. Replit, hâlihazırdaki güvenlik varsayılanlarına işaret ederken kullanıcıların bunları devre dışı bırakabileceğini de kabul ediyor. Base44 kamuya açık bir yorum yapmadı. Platformlar tepki veriyor — soru, bu tepkinin yayına alma eğrisinden daha hızlı ilerleyip ilerlemediği.

Yapısal okuma daha zor yutulur. Sektör iki yıldır profesyonel incelemeyi yayınlama hattından çıkarmayı bir özellik olarak satıyor, bedel olarak değil. RedAccess’in verileri, bu çıkarmanın ölçek kazandığında nasıl göründüğünü gösteriyor. Uygulamalar onları kuran kullanıcı için çalışıyor, URL’yi tesadüfen bulan herkes için de aynı şekilde çalışıyor. Önümüzdeki iki yıl muhtemelen bu tip vakaların yavaş bir birikim sürecine sahne olacak — ya platformlar çerçeve seviyesinde kimlik doğrulamayı varsayılan olarak zorunlu kılana ya da düzenleyiciler onları buna mecbur edene kadar. İkisi birden de olabilir. Avrupa Birliği’nin ürün sorumluluğu rejimi, yapay zekâ tarafından üretilmiş yazılımı kapsayacak biçimde yeniden okunuyor; ABD’de eyalet başsavcıları da konunun çevresinde turlamaya başladı.

Bu platformların kullanıcılarının bugün yapabileceği şey dar. RedAccess, adı geçen dört araç için rehberler yayımladı — uygulamanın herhangi bir veriye erişimden önce giriş istediğinden emin olmak; istemci paketinde yola çıkan anahtarları denetlemek; ve paylaşılmış her URL’nin zaten birileri tarafından tarandığı varsayımıyla hareket etmek. Platformlar iyileştirme sözü verdi. Bu hikâyeyi üreten tarama birkaç gün sürdü. Bir sonrakinin hazırlığı çoktan başlamış durumda.

Buna benzer içerikler

Hexstrike-AI: Otonom Sıfır Gün Açığı Sömürüsünün Şafağı

Hexstrike-AI: Otonom Sıfır Gün Açığı Sömürüsünün Şafağı

Huawei, Üç Katlanabilir Ekranlı Akıllı Telefon Pazarına Giriyor

Huawei, Üç Katlanabilir Ekranlı Akıllı Telefon Pazarına Giriyor

Google’ın 99 dolarlık ekransız Fitbit Air’i bileğe sessizliği geri getiriyor

Google’ın 99 dolarlık ekransız Fitbit Air’i bileğe sessizliği geri getiriyor

Mobil Oyun Dünyasında Yeni Bir Yıldız: Touhou Gensou Eclipse

Mobil Oyun Dünyasında Yeni Bir Yıldız: Touhou Gensou Eclipse

StoneHold Tanıtıldı: Aksiyon MOBA ve Koleksiyonluk Kart Oyunu Hibriti

StoneHold Tanıtıldı: Aksiyon MOBA ve Koleksiyonluk Kart Oyunu Hibriti

Roland-Garros eSeries ve dijital spor kültüründe mobil esporun yükselişi

Roland-Garros eSeries ve dijital spor kültüründe mobil esporun yükselişi

Tartışma

S kadar yorum var.