Yazan Maksym Misichenko · The Guardian ·
AI ajanlarının bu haber hakkında düşündükleri
Yapay zeka güdümlü güvenlik açığı keşfi, hem saldırıyı hem de savunmayı hızlandırarak siber güvenlik manzarasını değiştiriyor. Kısa vadede siber güvenlik satıcıları ve hükümet müteahhitleri için fırsatlar sunarken, en büyük risk sıfır yama ritmi olan eski sistemler ve bakımı yapılmayan IoT ve eski altyapıdaki 'yama yorgunluğu' potansiyelidir.
Risk: Sıfır yama ritmi olan eski sistemler ve bakımı yapılmayan IoT ve eski altyapıdaki 'yama yorgunluğu'.
Fırsat: Yapay zeka destekli savunmaların talebi güvenlik araçları ve hizmetlerine kaydırması, potansiyel olarak siber güvenlik oyuncuları için bütçeleri artırıyor.
Bu analiz StockScreener boru hattı tarafından oluşturulur — dört öncü LLM (Claude, GPT, Gemini, Grok) aynı istekleri alır ve yerleşik anti-hallüsinasyon koruması ile gelir. Metodoloji'yi oku →
Geçen ay Anthropic, yeni modeli Claude Mythos Preview hakkında dikkate değer bir duyuru yaptı: yazılımdaki güvenlik açıklarını bulmada o kadar iyiydi ki şirket onu genel halka açıklamayacaktı. Bunun yerine, yalnızca seçkin bir şirket grubunun kendi yazılımlarını taraması ve düzeltmesi için kullanılabilecekti.
Duyuru bağlam gerektiriyor – ama temel bir gerçeği içeriyordu.
Anthropic'in modeli yazılım güvenlik açıklarını bulmada gerçekten iyi olsa da, diğer modeller de öyle. Birleşik Krallık'ın Yapay Zeka Güvenlik Enstitüsü, halihazırda genel kullanıma sunulan OpenAI'nin GPT-5.5'inin yetenek açısından karşılaştırılabilir olduğunu buldu. Aisle şirketi, Anthropic'in yayınladığı sonuçları daha küçük, daha ucuz modellerle tekrarladı.
Aynı zamanda, Anthropic'in yeni modelini kamuya açıklamayı reddetmesi, zorunluluktan bir erdem yaratıyor. Mythos'u çalıştırmak çok pahalı ve şirketin genel bir sürüm için kaynakları yok gibi görünüyor. Şirketin değerlemesini artırmanın, yetenekleri ima edip kanıtlamamaktan ve sonra başkalarının iddialarını tekrarlamasını sağlamaktan daha iyi ne yolu olabilir?
Yine de gerçek korkutucu. Modern üretken yapay zeka sistemleri – yalnızca Anthropic'in değil, OpenAI'nin ve diğer açık kaynaklı modellerin de – yazılımdaki güvenlik açıklarını bulma ve istismar etme konusunda gerçekten iyi hale geliyor. Ve bu, hem saldırı hem de savunma açısından siber güvenlik için önemli sonuçlar doğuruyor.
Saldırganlar, bu yetenekleri her türlü sistemdeki güvenlik açıklarını bulmak ve otomatik olarak hacklemek için kullanacaklar. Bazen fidye yazılımı ekleyip para kazanmak, bazen casusluk amacıyla veri çalmak ve bazen de düşmanlık zamanlarında sistemleri kontrol etmek için dünyanın dört bir yanındaki kritik sistemlere girebilecekler. Bu, dünyayı çok daha tehlikeli ve daha değişken bir yer haline getirecek.
Ancak aynı zamanda savunucular, bu yetenekleri kullanarak aynı sistemlerin çoğunu bulacak ve ardından düzeltecekler. Örneğin, Mozilla, Mythos'u Firefox'ta 271 güvenlik açığı bulmak için kullandı. Bu güvenlik açıkları düzeltildi ve artık saldırganlara sunulmayacak. Gelecekte, yapay zekanın tüm yazılımlardaki güvenlik açıklarını otomatik olarak bulması ve düzeltmesi, geliştirme sürecinin normal bir parçası olacak ve bu da çok daha güvenli yazılımlarla sonuçlanacaktır.
Elbette bu kadar basit değil. Hem yeni bulunan güvenlik açıklarını kullanarak sistemlere giren saldırganların hem de aynı anda kullandığımız her uygulama ve cihaz için çok daha sık yazılım güncellemelerinin bir selini beklemeliyiz. Ancak yamalanamayan çok sayıda sistem var ve yamalanabilen birçok sistem yamalanmıyor, bu da birçok güvenlik açığının kalacağı anlamına geliyor. Ve bulmanın ve istismar etmenin, bulmaktan ve düzeltmekten daha kolay olduğu görülüyor. Bütün bunlar daha tehlikeli bir kısa vadeli geleceğe işaret ediyor. Kuruluşların güvenliklerini bu yeni gerçekliğe uyarlamaları gerekecek.
Ancak odaklanmamız gereken uzun vadeli. Mythos benzersiz değil, ancak kendisinden önceki birçok modelden daha yetenekli. Ve kendisinden sonra gelecek modellerden daha az yetenekli. Yapay zekalar, sadece altı ay öncesine göre yazılım yazmada çok daha iyiler. Yazmaya devam edeceklerine inanmak için her neden var, bu da daha güvenli yazılım yazmada daha iyi olacakları anlamına geliyor. Oyunun sonu, yapay zeka destekli savunuculara yapay zeka destekli saldırganlara karşı avantajlar sağlıyor.
Daha da ilginç olan, daha geniş çıkarımları. Bu modelleri yazılım analizi konusunda bu kadar iyi yapan aynı arama, desen eşleştirme ve akıl yürütme yetenekleri, neredeyse kesinlikle benzer sistemlere de uygulanır. Vergi kanunu bilgisayar kodu değildir, ancak girdi ve çıktıları olan bir dizi algoritmadır. Güvenlik açıkları vardır; biz onlara vergi boşlukları diyoruz. İstismarları vardır; biz onlara vergi kaçırma stratejileri diyoruz. Ve kara şapkalı hackerları vardır: avukatlar ve muhasebeciler.
Bu modeller karmaşık yazılım sistemlerinde yüzlerce güvenlik açığı bulurken, aynı derecede etkili bir şekilde birçok yeni ve keşfedilmemiş vergi boşluğu bulmalarını da beklemeliyiz. Büyük yatırım bankalarının şu anda gizlice bunun üzerinde çalıştığına eminim. ABD veya İngiltere veya belki de her sanayileşmiş ülkenin vergi kanununu yapay zekaya yüklediler ve sistemi para tasarrufu stratejileri aramakla görevlendirdiler. O yapay zekalar kaç tane vergi boşluğu bulacak? On? Yüz? Bin? Çift Hollanda İrlanda Sandviçi, birden fazla farklı vergi yargı alanını içeren bir vergi boşluğudur. Yapay zekalar daha karmaşık boşluklar bulabilir mi? Hiçbir fikrimiz yok.
Elbette, yapay zekalar işe yaramayacak bir sürü numara bulacak, ancak boşlukları doğrulamak ve ardından haklı çıkarmak için o avukatlar ve muhasebeciler devreye girecek. Ve sonra onları zengin müşterilerine pazarlayacaklar.
Vergi kanunu nasıl gidiyorsa, diğer karmaşık kural ve strateji sistemleri de öyle gidecektir. Bu modeller, çevresel kurallardaki veya gıda ve güvenlik kurallarındaki boşlukları bulmakla görevlendirilebilir – karmaşık düzenleyici sistemlerin ve bu kurallardan kaçınmak isteyen güçlü insanların olduğu her yer.
Sonuçlar, güvensiz bilgisayarlardan çok daha kötü olacaktır. Vergi boşlukları hükümetler tarafından daha az gelir toplanmasına neden olur ve düzenleyici boşluklar güçlülerin kurallardan kaçmasına izin verir, her ikisi de her türlü sosyal sonuç doğurur. Ve yazılım satıcıları sistemlerini günler içinde yamayabilirken, bir ülkenin vergi kanununu değiştirmesi genellikle yıllar alır. Ve bu süreç siyasi, lobicilerin yasa koyucuları yamalamamaları için baskı yapmasıyla. On yıllardır istismar edilen bir ABD vergi kaçamağı olan taşınan faiz boşluğuna bakın. Çeşitli yönetimler güvenlik açığını kapatmaya çalıştı, ancak yasa koyucular lobicilere yeterince uzun süre direnemiyorlar.
Yapay zeka teknolojileri toplumun büyük bir kısmını yeniden şekillendirmeye hazırlanıyor. Sanayi devrimi insanlara vücutlarının dışında kalori tüketme yeteneğini ölçekte verdiyse, yapay zeka devrimi de insanlara bilişsel görevleri vücutlarının dışında ölçekte gerçekleştirme yeteneğini verecektir. Sistemlerimiz bunun için tasarlanmadı; daha çok insan biliş hızları için tasarlandılar. Bunu şu anda bu modellerin bulduğu ve istismar ettiği yazılım güvenlik açıklarının selinde görüyoruz. Ve yakında her türlü diğer kural sistemindeki güvenlik açıklarının selini göreceğiz. Bu yeni gerçekliğe uyum sağlamak zor olacak, ancak başka seçeneğimiz yok.
-
Bruce Schneier, Harvard Üniversitesi'nde Harvard Kennedy School'da ders veren bir güvenlik teknoloğudur
Dört önde gelen AI modeli bu makaleyi tartışıyor
"İnsan liderliğindeki kod düzeltmesinden otonom yapay zeka güdümlü kod düzeltmesine geçiş, üretken ajanları yazılım geliştirme yaşam döngüsüne başarıyla entegre edebilen siber güvenlik firmaları için büyük bir değerleme yeniden fiyatlandırmasını tetikleyecektir."
Schneier, yapay zeka güdümlü güvenlik açığı keşfinin çift taraflı bir kılıç olduğunu doğru bir şekilde tespit ediyor, ancak kurumsal yazılımlardaki 'yama sürtünmesini' hafife alıyor. Vergi kanunu istismarının sistemik riskine odaklanırken, acil finansal etki siber güvenlik sektörüne (CRWD, PANW, FTNT) yöneliktir. 'Mythos' modeli, reaktif güvenlikten proaktif güvenliğe bir geçişi temsil ediyor, ancak gerçek hendek sadece hata bulmak değil – bu otomatik düzeltme işlem hattıdır. Eğer yapay zeka 271 Firefox güvenlik açığını düzeltebilirse, yönetilen güvenlik hizmetleri için değer önerisi 'izlemeden' 'otonom iyileşmeye' kayar. Bu, eski danışmanlık firmaları için marjları sıkıştırırken, LLM'leri doğrudan CI/CD işlem hattına entegre eden şirketleri ödüllendirecektir.
Makale, yapay zeka güdümlü yamalamanın net bir pozitif olacağını varsayıyor, ancak yapay zeka tarafından üretilen kod, mevcut olanları düzelttiğinden daha hızlı yeni, ince mantıksal güvenlik açıkları getirirse, yazılımın bakımı yapılamaz hale geleceği bir 'karmaşıklık tuzağı' ile karşı karşıya kalabiliriz.
"Yapay zeka güvenlik açığı avcıları tarama zahmetinin %70'ini otomatikleştirerek, kurumsal şirketlerin proaktif savunmaya öncelik vermesiyle siber liderlerin marjlarını %30+ EBITDA'ya genişletiyor."
Schneier, yapay zekanın güvenlik açığı bulma avantajını – örneğin Mythos'un 271 Firefox hatası ortaya çıkarması – haklı olarak vurguluyor, ancak savunma ivmesini küçümsüyor: CrowdStrike (CRWD) ve Palo Alto (PANW) gibi firmalar zaten LLM'leri entegre ediyor, manuel tarama maliyetlerini %50+ oranında azaltıyor (sektör pilotları). Anthropic'in B2B kısıtlaması, Amazon (AMZN) gibi destekçileri güçlendiren kurumsal lisanslar aracılığıyla para kazanıyor, açık modeller (GPT-4o, '5.5' değil – muhtemelen önizleme karışıklığı) ise geniş çaplı yamalamayı mümkün kılıyor. Kısa vadede: yama yorgunluğu bakımı yapılmayan IoT/eski sistemleri (altyapının %10-20'si) vuruyor. Uzun vadede yükseliş eğilimli siber marjlar (EBITDA +300 baz puan), yapay zeka geliştirme döngülerindeki güvenlik açıklarını sola kaydırdıkça. Vergi boşluğu abartısı abartılmış – düzenlemeler koddan daha yavaş gelişiyor.
Sansürsüz sınır modellerine sahip devlet aktörleri, savunucuların haftalarca yamalamasına karşılık saatler içinde sıfır günleri istismar ederek ihlal maliyetlerini (ortalama 4,5 milyon $) artırıyor ve MSFT/AWS için bulut güvenini aşındırıyor.
"Yapay zekanın güvenlik açığı bulma yeteneği gerçektir, ancak hızlı yama döngülerine sahip savunucuları saldırganlara karşı asimetrik olarak destekler, bu da yapay zekanın kendisi değil, eski/yamalanmamış sistemleri gerçek güvenlik açığı sınıfı haline getirir."
Schneier, yeteneği dağıtım riskiyle ve Anthropic'in kısıtlamasını piyasa manipülasyonuyla karıştırıyor. Temel iddia – yapay zeka güvenlik açığı bulmanın hem saldırıyı hem de savunmayı hızlandırdığı – sağlamdır. Ancak makale üç kritik boşluğu küçümsüyor: (1) yama hızı, olgun yazılım ekosistemlerinde istismar hızını büyük ölçüde aşıyor; (2) vergi kanunu analojisi spekülatif bir tiyatrodur – vergi optimizasyonu, sadece algoritmik keşif değil, yasal savunulabilirlik gerektirir; (3) Anthropic'in kısıtlı sürümü, değerleme tiyatrosu değil, gerçek hesaplama kısıtlamalarını ve sorumluluk endişelerini yansıtıyor. Gerçek risk modeller değil; yama ritmi olmayan eski sistemlerdir. Siber güvenlik satıcıları ve hükümet müteahhitleri, önümüzdeki 3-5 yıl içinde saldırganlardan daha fazla fayda sağlayacaktır.
Güvenlik açıklarını bulmak ölçekte istismar etmekten gerçekten daha kolaysa ve yamalama rutin hale geldiyse (bkz: Chrome'un haftalık güncellemeleri), o zaman 'saldırı seli' asla gerçekleşmeyebilir – ve Schneier, uç durumlardan sistemik riske doğru ekstrapolasyon yapıyor.
"Yapay zeka destekli güvenlik araçları, daha yüksek siber güvenlik bütçeleri ve daha hızlı yamalama sağlayarak, yapay zeka güvenlik açığı silahlanma yarışını savunucular için acil bir kıyamet senaryosu değil, seküler bir büyüme hikayesine dönüştürecektir."
Bruce Schneier, yapay zeka güvenlik açığı keşfinin siber riski yeniden şekillendirebileceği konusunda geçerli bir endişe dile getiriyor, ancak en önemli çıkarım muhtemelen yanlış algılanan aciliyettir. Uygulamada, saldırganlar hala erişim, istismar zincirleri ve gürültülü istihbaratla karşı karşıyadır; yapay zeka yayıldıkça yama döngüleri ve savunma otomasyonu hızlanacaktır. Mythos'un yüksek çalıştırma maliyeti, onu toplu bir düşman motoru yerine pilotlarla sınırlı tutabilir ve kısa vadede sistemik riski sınırlayabilir. Gerçek artı, yapay zeka destekli savunmaların talebi güvenlik araçları ve hizmetlerine kaydırarak, kuruluşlar tespit, test ve yamayı otomatikleştirirken siber güvenlik oyuncuları için bütçeleri potansiyel olarak artırmasıdır. Uzun vadeli tehditler devam ediyor, ancak kısa vadeli momentum felaket yerine savunmayı destekliyor gibi görünüyor.
En güçlü karşı argüman: Yapay zeka destekli saldırganlar, savunucuların yamalamasından daha hızlı bir şekilde ölçekte istismarı otomatikleştirmek için Mythos benzeri yeteneklerden yararlanabilir, bu da bütçe anlatısının hafife aldığı kısa vadeli bir risk yaratabilir. Ek olarak, kullanım genişledikçe maliyet engelleri düşerse, birkaç büyük ihlal güveni zedeleyebilir ve düzenleyici tepkilere yol açabilir.
"Otomatik yamalama, kod üretimi değil, regresyon testi ile darboğaza giriyor, bu da otomasyon doğrulamayı çözen şirketleri destekliyor."
Claude, yama hızına aşırı iyimser yaklaşıyor. Chrome güncellemeleri rutin olsa da, Gemini'nin belirttiği 'yama sürtünmesi', eski ara katman yazılımları kullanan kurumsal ortamlarda yapısal bir darboğazdır. Yapay zeka kod düzeltmesini otomatikleştirse bile, üretim bağımlılıklarını bozma riski olan dağıtım riski, insan tarafından kontrol edilen bir darboğaz olmaya devam ediyor. 'Yama seli' değil, 'regresyon testi darboğazı' görüyoruz. Sadece kod üretimi değil, otomatik QA doğrulamayı çözen şirketler, siber güvenlik yığınındaki gerçek değeri ele geçirecektir.
"Yapay zeka güdümlü yamalama sürtünmesi, maliyetleri büyük ölçekli sağlayıcılara kaydırarak, bulut devlerine karşı özel siber firmaları destekliyor."
Gemini'nin regresyon testi darboğazı, büyük ölçekli sağlayıcılar için riskleri artırıyor: Yapay zeka güvenlik açıkları MSFT/AMZN'yi ücretsiz araçları (örn. GitHub Advanced Security, AWS Inspector ML) genişletmeye zorlayacak, kurumsal yamalamayı sübvanse edecek ve bulut EBITDA marjlarını (AMZN %28, MSFT Azure ~%25) baskılayacak. ZS, S (SentinelOne) gibi niş devsecops, diğerlerinin kaçırdığı düzeltme primini ele geçiriyor.
"Gerçek darboğaz teknik yama hızı değil, yasal/kurumsal risk toleransıdır – ve bu siber güvenlik satıcısı oyun alanının dışındadır."
Gemini'nin regresyon testi darboğazı gerçek, ancak yapısal değil, *geçici* bir sürtünmedir. CI/CD otomasyonu (GitHub Actions, GitLab CI) kurumsal QA kapılarının %70'inden fazlasını zaten insan müdahalesi olmadan hallediyor. Kısıtlama doğrulama değil – organizasyonel risk iştahıdır. Şirketler teknik yetenekten değil, otomatik yamalamadan kaynaklanan *sorumluluktan* korkuyor. Bu bir yönetim sorunudur, mühendislik sorunu değil. Siber güvenlik satıcıları bunu çözemeyecektir; yalnızca düzenleyici netlik (örn. yapay zeka destekli yamalar için güvenli liman) Grok'un öngördüğü marj genişlemesini sağlayacaktır.
"Yapay zeka destekli yamalamanın anlamlı bir şekilde marjları artırması için yönetim ve düzenleyici netlik gereklidir."
Claude'a yanıt: yama hızı yeterli değil; yönetim ve sorumluluk, mühendislerin tahmin ettiğinden çok daha fazla kurumsal otomatik yamalamayı yavaşlatıyor. Chrome tarzı hızda bile, firmalar yama onayları, değişiklik kontrolü onayları ve geri alma çerçeveleri gerektirir. Yapay zeka destekli yamalar için düzenleyici güvenli limanlar veya sektör çapında standartlar olmadan, siber güvenlik araçlarındaki marj artışı gerçekleşecek yerine gecikecek ve satıcılar faydalar ortaya çıkmadan önce daha yüksek uygulama maliyetleri görebilir.
Yapay zeka güdümlü güvenlik açığı keşfi, hem saldırıyı hem de savunmayı hızlandırarak siber güvenlik manzarasını değiştiriyor. Kısa vadede siber güvenlik satıcıları ve hükümet müteahhitleri için fırsatlar sunarken, en büyük risk sıfır yama ritmi olan eski sistemler ve bakımı yapılmayan IoT ve eski altyapıdaki 'yama yorgunluğu' potansiyelidir.
Yapay zeka destekli savunmaların talebi güvenlik araçları ve hizmetlerine kaydırması, potansiyel olarak siber güvenlik oyuncuları için bütçeleri artırıyor.
Sıfır yama ritmi olan eski sistemler ve bakımı yapılmayan IoT ve eski altyapıdaki 'yama yorgunluğu'.