Bir tarayıcı uygulamanıza /reset?email=alex@example.com adresine bir POST gönderiyor ve yanıtı okuyor. Yanıt süresi e-posta veritabanınızda varsa biraz daha uzun, yoksa biraz daha kısa. Tarayıcı bir tane daha gönderiyor, sonra bir tane daha, sonra otuz bin tane, sonra bir milyon. İki saat sonra veritabanınızdaki her müşteri e-postası elinde. Bir phishing kampanyası ertesi sabah çıkıyor. İlk mesaj şöyle: "Uygulamanızın destek ekibinden merhaba, hesabınızda olağandışı bir hareket fark ettik." En aktif üç müşteriniz tıklıyor. Yetki yükseltme pratikte böyle. Filmlerdeki gibi görünmüyor. AI araçlarının zamana karşı güvenli karşılaştırma veya genel yanıt eklemeden ürettiği sessiz bir API uç noktası gibi görünüyor.
Gerçek bir uygulamada nasıl görünür
Parola sıfırlama enumerasyonu sadece bir örnek. Aynı hata ailesi, AI aracınızın eklemeyi unuttuğu her yetkilendirme kontrolünü kapsar: veritabanı okumalarında satır düzeyinde filtreleme, yazma işlemlerinde sahiplik kontrolleri, yeni uç noktalarda varsayılan reddet. AI araçları özellikleri inşa eder; reddetmeleri inşa etmez. Kullanıcınızın ne yapabileceğini tanımladığınızda, AI'nın inşa ettiğini tanımlıyorsunuz. Kullanıcının ne yapmaması gerektiğini neredeyse hiç tanımlamıyorsunuz; o yüzden kapıdaki kilit inşa edilmiyor. Şimdi bunu uygulamanızın yayınladığı her özellikle çarpın.
Rakamlar: %322, %40 ve %153
2026 sektör araştırması, AI tarafından üretilen kodu insan yazılı kodla güvenlik sorunları kategorilerinde karşılaştırdı. Üç bulgu öne çıktı. Yetki yükseltme yolları %322 arttı, parola sızıntısı %40 yükseldi ve yapısal tasarım kusurları %153 daha yaygındı. Yaygın sorunlar arasında AI tarafından üretilen sunucu kodunun %41'inin aşırı geniş yetki ayarlarıyla yayına çıkması var. Kaynak: https://www.softwareseni.com/ai-generated-code-security-risks-why-vulnerabilities-increase-2-74x-and-how-to-prevent-them/ ve https://labs.cloudsecurityalliance.org/research/csa-research-note-ai-generated-code-vulnerability-surge-2026/
- Yetki yükseltme yolları: +%322
- Yapısal tasarım kusurları: +%153
- Parola sızıntısı: +%40
- AI ile üretilen sunucu kodunun %41'i aşırı geniş yetkiyle yayına çıkıyor
Yetki yükseltme, gerçek bir iş riskinin teknik adı: kullanıcılarınızdan biri, başka bir kullanıcınızın faturalarını, mesajlarını, fotoğraflarını veya gizli kalsın diye ödedikleri her şeyi görüyor.
Bu yaşandığında yasa ne diyor
Veritabanınızdaki her müşteri e-postası kişisel veri. Bir tarayıcı bunu dışarı aktardığında, bu GDPR kapsamında kişisel veri ihlalidir. Madde 83'e göre azami ceza, küresel yıllık gelirin %4'ü veya 20 milyon euro (hangisi yüksekse). Türkiye'de KVKK (Kanun 6698) kapsamında idari para cezaları milyonlarca Türk lirasına ulaşıyor ve veri sorumlusu kamuya açık kararda adıyla yer alıyor. GDPR Madde 33 kapsamında 72 saatlik ihlal bildirim saati farkına vardığınız anda başlıyor. Kaliforniya'da CCPA, müşteri sayınızla ölçeklenen kayıt başı zararlar ekliyor. Bu genel bilgidir, yasal tavsiye değildir. Durumunuz için bir avukatla konuşun.
Rakibinizin phishing kampanyası, sizin veritabanınızdan gelen müşteri e-postalarını kullanıyorsa, düzenleyicinin ilk arayacağı yer yine sizsiniz. Zararın indiği yerde değil, sızıntının başladığı yerde başlıyorlar.
Bu, bir kurucu için en kötü hata türüdür
Çöken bir uygulama utanç verici. Yavaş bir uygulama can sıkıcı. Sızdırılmış bir fatura affedilemez. AI araçlarının yetkilendirme kontrollerini kaçırmasının sebebi basit: ne yapmak istediğinizi tarif ettiğinizde, kullanıcının ne yapabileceğini tarif ediyorsunuz. Neredeyse hiçbir zaman kullanıcının ne yapMAMASI gerektiğini tarif etmiyorsunuz. AI bu kontroller olmadan kod yayınlamayı reddetmiyor. Tam olarak istediğinizi yayınlıyor: kapıdaki kilit hariç her şey.
Boşluğu nasıl hızlıca kapatıyoruz
Eklenecek yaklaşık altı desen var ve bunlar çoğu durumu kapsıyor. Kodunuzun doğru yerlerine ekliyoruz, geri dönemeyecek şekilde testler yazıyoruz ve bir sonraki özelliği yaptığınızda kullanacağınız komutlar üzerinde size koçluk yapıyoruz. Tüm iş genellikle 1 ila 4 haftalık kurtarma sürecimize sığar.
- Satır düzeyinde yetkilendirme: her veritabanı okuması mevcut kullanıcıya göre filtrelenir
- Eylem düzeyinde kontroller: bu kullanıcı okuyabilir, ama düzenleyebilir mi?
- Yeni uç noktalarda varsayılan reddet: izin verene kadar yasak
- Başka bir kullanıcının verisine erişmeye çalışan ve isteğin reddedildiğini doğrulayan testler
- Parolalar kod dışında: yalnızca ortam değişkenleri, rotasyon planıyla birlikte
- AI'nın bu kontrolleri varsayılan olarak eklemesi için tekrar kullanacağınız bir prompt şablonu
Bunu üretim uygulamaları için yaptık
Kendin Bak (https://kendinbak.ibgroup.dev) ve Seyir Yardımcısı (https://navigasyon.ibgroup.dev), gerçek kullanıcıları ve gerçek verileri taşıyan üretim mobil uygulamaları. Lean Cart (https://leancart.global), yetkilendirmenin ürünün tamamı olduğu çok kiracılı bir e-ticaret platformu: bir müşteri başka bir müşterinin mağazasını asla görmemeli. Aynı disiplini müşteri çalışmalarına taşıyoruz. Açık kaynak katkılarımız Strapi tarafından https://strapi.io/integrations/strapi-http-toolkit adresinde resmi olarak öne çıkarıldı.
Müşteriler gelmeden önce kapıları kilitleyin
Yapacağınız tüm güvenlik çalışmaları arasında yetkilendirmeyi düzeltmek, saat başına en büyük getiriyi sağlar. Çoğu uygulama bunları kapatmak için bir hafta odaklı çalışmaya ihtiyaç duyar. Bu işi sadece %10 ön ödemeyle Upwork üzerinden sabit fiyatla yapıyoruz. Lansmana hazırlanıyorsanız, atlamamanız gereken tek şey budur.
Yetkilendirme konularına odaklı ücretsiz yazılı kod incelemesi alın. Bugün hangi kullanıcı eylemlerinin korumasız olduğunu tam olarak söyleyeceğiz.