Tüm alanlarda olduğu üzere, Android dünyasında da yapay zeka rüzgarları sert esiyor. Lakin madalyonun öteki yüzü korkutucu bir tablo çiziyor. Google Play Store’da yer alan ve yapay zeka özelliklerine sahip olduğunu tez eden yaklaşık 40 bin uygulama üzerinde yapılan devasa bir güvenlik araştırması, milyonlarca kullanıcının verisinin aslında ne kadar büyük bir risk altında olduğunu kanıtladı.

Uzmanlar, toplamda 1,8 milyon uygulamayı tarayarak başladıkları bu süreçte, geliştirici yanılgılarının kolay birer dikkatsizlikten öte, sistemli bir güvenlik zafiyetine dönüştüğünü gözler önüne seriyor.

Araştırma sonuçlarına nazaran, incelenen yapay zeka uygulamalarının yüzde 72 üzere çarpıcı bir miktarı, kodlarının içinde en az bir adet kodlanmış sır barındırıyor. Yazılımcıların uygulama koduna direkt gömdüğü bu kimlik bilgisi, API anahtarları ve bulut hizmeti referansları, makûs niyetli bireylerin eline geçtiğinde birer anahtara dönüşüyor. Üstelik bu uygulamaların her biri ortalama beş adet bilinmeyen bilgiyi sızdırıyor. Bu durum, yıllardır yapılan ihtarlara karşın inançsız kodlama alışkanlıklarının hala ne kadar yaygın olduğunu ve dijital dünyanın kapılarının aslında ne kadar aralık bırakıldığını gösteriyor.

Bulut altyapıları ve açık kalan bilgi kapıları

Tespit edilen bâtın bilgilerin yüzde 81 üzere büyük bir kısmı Google Cloud altyapısıyla ilgili verilerden oluşuyor. Bu bilgiler ortasında proje kimlikleri, Firebase veritabanları ve depolama alanlarına ilişkin kritik anahtarlar var. Araştırmacılar, bu açıklar sayesinde erişilebilir durumdaki yüzlerce yanlış yapılandırılmış data tabanını ve depolama ünitesini belirledi. Bu zafiyetin boyutu ise dudak uçuklatacak cinsten: Yaklaşık 200 milyon belge ve toplamda 730 terabaytı bulan kullanıcı verisi, hiçbir müdafaa olmaksızın internete saçılmış durumda bekliyor.

Asıl ürkütücü olan ise bu durumun yalnızca teorik bir riskten ibaret kalmaması. Kimlik doğrulama denetimi bulunmayan yüzlerce Firebase bilgi tabanını inceleyen uzmanlar, buralarda saldırganlar tarafından oluşturulmuş “test masaları” ve yönetici hesapları buldu. Bu durum, sistemlerin çoktan ele geçirildiğini ve saldırganların içeride cirit attığını kanıtlıyor. Kimi data tabanlarında saldırganlara ilişkin e-posta adresleriyle açılmış yetkili hesapların bulunması, durumun vahametini bir kat daha artırıyor. Farklı bir halde, OpenAI yahut Gemini üzere büyük yapay zeka modellerine ilişkin anahtarların sızma oranı düşük kalsa da, Stripe üzere ödeme sistemlerine ilişkin saklı anahtarların kodlarda bulunması, saldırganların direkt finansal sistemlere erişim sağlayabileceği manasına geliyor.

Bu biçim derin yapısal yanılgılar, standart bir antivirüs yazılımı yahut güvenlik duvarıyla engellenemiyor. Uygulama mağazalarındaki kontrollerin de tek başına kâfi olmadığı bu tabloda, sorumluluğun büyük bir kısmı geliştiricilere düşüyor.