Naeildo: Sadece URL girerek 9 yapay zeka ajanı vibe coding servisinizin güvenliğini analiz ediyor

 (naeildo.com)
2 puan yazan gridatech 3 시간 전 | 1 yorum | WhatsApp'ta paylaş

Merhaba, biz Naeildo'yu geliştiren ekibiz.

Cursor, Claude Code gibi yapay zeka kodlama araçlarıyla hızla servis geliştirenlerin sayısı arttı. Biz de onlardan biriydik ve bir gün aklımızda şu soru kaldı: "Bu kod gerçekten güvenli mi?"

Bunu kendimiz doğrulamaya karar verdik. Yurt içindeki 28 girişimin canlı servislerini OWASP Top 10 kriterlerine göre analiz ettik ve beklediğimizden farklı sonuçlar çıktı.

  • Yapay zeka tarafından üretilen kodların %45'inde güvenlik açığı bulundu
  • 28 servisin ortalama güvenlik puanı: 100 üzerinden 19,4
  • En yaygın açıklar: API anahtarlarının hardcoded olması, JWT için sona erme süresinin ayarlanmaması, CORS'un herkese açık olması

Bu sorunu çözmek istediğimiz için Naeildo'yu geliştirdik.

Nasıl çalışıyor?

Bir URL girdiğinizde 9 yapay zeka ajanı 3 takıma ayrılarak analiz yapıyor.

  • Guard ekibi (3 kişi): statik kod analizi, bağımlılık denetimi, altyapı güvenliği kontrolü
  • Analyst ekibi (3 kişi): dinamik güvenlik testleri, kimlik doğrulama/erişim kontrolü doğrulaması, yapay zeka kod kalıbı analizi
  • Verifier ekibi (3 kişi): OWASP standartlarına uyum kontrolü, compliance doğrulaması, genel sonuçların çapraz doğrulaması

Her ajan bağımsız olarak analiz yaptıktan sonra, çift yol üzerinden (URL dış sinyal toplama + MCP sunucusu entegrasyonu) çapraz doğrulama yapıyor. Bir ajanın kaçırdığı noktayı diğer ajan yakalayabiliyor.

Kodu doğrudan göndermeniz gerekmiyor. URL üzerinden gözlemlenebilen header, TLS, CORS, DNS, içerik meta verileri gibi sinyaller toplanarak analiz yapılıyor.

Analiz çıktıları

  • Açık listesi + önem derecesi sınıflandırması
  • Adım adım iyileştirme rehberi: 1. adımdan başlayıp sırayla takip ederek tamamlanacak yapı (örnek düzeltme kodları dahil)
  • PDF raporu: güvenlik kontrol sonuçlarının belgelenip paylaşılabileceği format
  • Markdown biçimi: geliştiricinin doğrudan uygulayabileceği format

Neden yaptık?

KISIA araştırmasına göre yurt içindeki şirketlerin %67,4'ü kendi güvenlik organizasyonunu işletmiyor ve şirket başına güvenliğe adanmış uzman sayısı ortalama 0,8. Güvenlik kontrolü yapmak isteseniz bile uzman personel ya da dış kaynak desteği olmadan başlamak zor bir yapı var.

Yapay zeka kodlama araçlarıyla servis geliştirme hızı arttı, ancak bu kodları doğrulayabilecek erişilebilir araçların yetersiz olduğunu hissettik. Tek bir URL ile analizi hemen çalıştırabilmek güzel olur düşüncesiyle yola çıktık.

Teknoloji yığını

  • Next.js tabanlı web uygulaması
  • Multi-AI Agent mimarisi (Guard / Analyst / Verifier, 3 ekip 9 ajan)
  • URL tabanlı çok modelli çapraz doğrulama pipeline'ı

Geri bildirimleriniz veya merak ettikleriniz varsa yorum bırakın. Teknik sorular da memnuniyetle karşılanır. Aktif şekilde yanıtlayacağız.

https://naeildo.com

İlgili okumalar

1 yorum

 
runableapp 1 시간 전

AI kullanarak geliştiren kişinin, yine AI kullanarak güvenlik sorunlarını bulup düzeltebilmesi gerekir gibi görünüyor; bu hizmetin böyle bir yönteme kıyasla ne gibi avantajları var?