Yapay Zeka Kodlama Asistanları Kazandı. Güvenlik Mücadelesi Yeni Başlıyor.

Salt'ın katılımcıları arasında, %29'u en büyük risk olarak güvensiz kodlama modellerini, %15'i ise birincil endişelerinin şirket içi güvenlik politikalarıyla uyumsuzluk olduğunu belirtti . Her iki korku da aynı temel nedenden kaynaklanıyor: Yapay zeka kodlama asistanları, herhangi bir kuruluşun kendi güvenlik politikaları, endüstri çerçeveleri veya uyumluluk gereksinimleri üzerinde değil, halka açık kodlar üzerinde eğitiliyor .

Güvenlik Kayması: Kimse Ne Gönderdiğinizi Fark Etmediğinde

Rapor, benimseme paradoksunu gerçek bir riske dönüştüren mekanizma olarak "güvenlik kaymasını" tanıtıyor. Fikir basit. Bir kuruluş, güvenlik kurallarını, yapay zeka asistanının hiç okumadığı wiki sayfalarında, PDF'lerde ve kurumsal hafızada yazılı tutar. Asistan, sözdizimsel olarak doğru ve işlevsel olarak kullanışlı, ancak bu iç politikaları sessizce ihlal eden kodlar üretir. İnceleme süreçleri hıza yetişemediği için kimse bu ihlalleri yakalayamaz .

Bu, Salt'ı yönetimle ilgili en uygulanabilir ve aynı zamanda en endişe verici bulgularından birine götürüyor. Kuruluşların %38'i, yapay zeka kodlama asistanlarının çıktılarını yönetmek için hâlâ öncelikle manuel kod incelemesine güveniyor. Yapay zeka tarafından üretilen kodun hacmi, insan denetçilerin anlamlı bir şekilde inceleyebileceğinin çoktan ötesine geçti ve Salt'ın 2027 projeksiyonu bu boşluğun yalnızca genişleyeceğini gösteriyor . Kuruluşların yalnızca küçük bir azınlığı, yapay zeka kodlama iş akışlarına otomatik güvenlik bariyerleri entegre etmiş durumda .

Salt Security CEO'su Roey Eliyahu, durumu açıkça özetledi: Yönetim, yapay zeka kodlama asistanlarının yazılım geliştirme şeklini değiştirdiği hıza ayak uyduramadı . Geleneksel statik ve dinamik analiz araçları (SAST/DAST), sorunları iş zincirinin sonunda yakalar, bu noktada her düzeltme bir yeniden yazım ve her yeniden yazım bir gecikmedir .

METR Algı Boşluğu: Daha Yavaş Hissettirirken Daha Hızlı Hissetmek

Güvenlik yönetimi, algı ve gerçekliğin birbirinden ayrıldığı tek alan değil. Salt'ın raporu, geliştirici araçları tartışmalarında referans noktası haline gelen bir dış çalışmanın bulgusunu vurguluyor: Temmuz 2025'te yayınlanan METR randomize kontrollü denemesi .

Çalışma, 16 deneyimli açık kaynak geliştiricisini, her biri bir milyondan fazla satır ve on binlerce GitHub yıldızına sahip kendi olgun kod depolarında 246 gerçek dünya görevi üzerinde teste tabi tuttu. Katılımcılar rastgele olarak yapay zeka araçlarını (çoğunlukla Claude 3.5/3.7 Sonnet ile Cursor Pro) kullanma veya bunlarsız çalışma durumuna atandı .

Başlık sonucu o kadar sık alıntılandı ki arka plan gürültüsü haline gelme riski taşıyor, ancak rakamlar çarpıcı olmaya devam ediyor. Yapay zeka kullanan geliştiriciler, herhangi bir yapay zeka yardımı olmadan çalışanlara göre görevleri %19 daha yavaş tamamladı. Denemeden önce, aynı geliştiriciler yapay zekanın kendilerini %24 daha hızlı yapacağını tahmin etmişti. Görevlerini tamamladıktan sonra, nesnel ölçümler daha yavaş olduklarını göstermesine rağmen, araçların kendilerini yaklaşık %20 daha hızlı yaptığını tahmin ettiler. Hissettirilen ve gerçek üretkenlik arasındaki fark 39 puanı aştı .

METR'in bulgusu, yapay zeka araçlarının işe yaramaz olduğu anlamına gelmez — bağlam büyük ölçüde önemlidir. İşe alıştırma senaryolarında, rutin şablon kodu oluşturmada ve geliştiricilerin kod tabanına daha az aşina olduğu görevlerde kazanımlar gözlemlenmiştir. Ancak, karmaşık ve kod tabanına bağlı görevler üzerinde çalışan deneyimli mühendisler için kanıtlar, araçların geliştiricilerin bilinçli olarak fark etmediği bir sürtüşmeye yol açabileceğini göstermektedir .

Salt Code: Kuralları Hattın Sonunda Değil, Komut İsteminde Uygulamak

Salt, araştırmasını, raporun tam da tanımladığı yönetim boşluğunu ele almak için tasarlanmış bir ürün lansmanıyla aynı zamana denk getirdi. Şirket, 1 Haziran 2026'da, daha geniş Agentic Security Platform'unun yeni bir bileşeni olan Salt Code'u tanıttı .

Salt Code'un yaklaşımı, güvenlik kaymasını başlamadan önce durdurmaktır. Yapay zeka tarafından üretilen kodu olay gerçekleştikten sonra taramak yerine, bir kuruluşun iç güvenlik ve uyumluluk kurallarını, kod üretimi anında doğrudan yapay zeka kodlama asistanının içinde uygular. Ürün, kuruluşların standartlaştırdığı başlıca araçlarla çalışır: Claude Code, Cursor, GitHub Copilot, Windsurf, Codex ve Gemini CLI .

Amaç, politikaya uygun kodu, aşağı akış taraması ve yeniden yazımı gerektiren bir şey değil, varsayılan çıktı haline getirmektir. Güvenlik ekipleri için, kod oluşturma, iş zinciri kontrolleri ve çalışma zamanı izleme boyunca tek bir politika katmanı sağlar — hataları yakalamaktan onları önlemeye doğru bir kayma .

Salt Code'un veya benzer araçların, yapay zeka benimsemesinin talep ettiği hızda yönetim boşluğunu kapatıp kapatmayacağı açık bir soru olmaya devam ediyor. Ancak gidişatın yönü belli. Yapay zekanın on sekiz ay içinde tüm kurumsal kodun yarısından fazlasını yazacağı öngörüsü doğruysa, güvenlik politikası bir gözden geçirme aşamasından varsayılan bir ayara dönüşmek zorunda. Alternatif, Salt'ın raporunun uyardığı gibi, endüstriyel ölçekte bir güvenlik kaymasıdır.