AI Çağında Yamalama Sorumluluğu: Yapay Zeka Yılların Açıklarını Bulurken Kurumlar Ne Yapmalı? Siber Güvenlik

AI Çağında Yamalama Sorumluluğu: Yapay Zeka Yılların Açıklarını Bulurken Kurumlar Ne Yapmalı?

OpenAI ve Anthropic'in yapay zeka modelleri, yıllardır var olan güvenlik açıklarını otonom bulup kapatıyor. Peki yama sorumluluğu kime ait?

Önde gelen iki yapay zeka laboratuvarı OpenAI ve Anthropic, en gelişmiş büyük dil modelleri Claude Mythos ve GPT-5.5'i kullanıma sunarken, bu modellerin güvenlik açıklarını otonom olarak bulup kapatma yetenekleri de gözler önüne seriliyor. Infosecurity Europe 2025'te konuşan Bayer Grubu CISO'su Kevin Jones, bulut hiper ölçekleyicileri de dahil olmak üzere görüştüğü BT satıcılarının, bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü belirtti. Jones, 'Normalde, herhangi bir kamu istismarı bilinmeyen bir yama yayınlandığında, kendinize 7 ila 10 gün süre tanırdınız. Artık saldırganlar bir yamayı yayınlandıktan sonra sadece 6 saat 40 dakika içinde tersine mühendislik yapıp istismar yazmaya başlıyor' dedi.

Bu hızlı istismar sürelerine karşı Hindistan Bilgisayar Acil Müdahale Ekibi (CERT-In), internet üzerinden erişilebilen ve aktif olarak istismar edilen güvenlik açıklarının 12 saat içinde yamalanmasını zorunlu kılan bir düzenleme getirdi. Kritik açıklar için 1 gün, yüksek önem dereceli açıklar için ise 5 gün süre tanındı. Vulners gelir başkanı Andrey Lukashekov, bu tür bir zorunluluğun 'kararlı göründüğünü' ancak büyük küresel şirketlerde zaman dilimleri, onay süreçleri ve değişiklik kontrolleri nedeniyle 'lojistik bir kabusa' dönüşebileceğini söyledi. Lukashekov, bu tür zorunlulukların üreticiler üzerindeki baskıyı artırdığını ancak aceleye getirilmiş düzeltmelerin yeni sorunlara yol açabileceğini vurguladı.

Avrupa Birliği, Siber Dayanıklılık Yasası (CRA) ile daha üretici merkezli bir yaklaşım benimsiyor. Lukashekov'a göre CRA, 'ürün güvenliğine sahip çıkma' sorumluluğunu yazılım geliştiricilere yükleyerek güvenli geliştirme, açık ifşası ve kullanıcı bildirimi yükümlülükleri getiriyor. Ancak Lukashekov, uyumluluğun otomatik olarak daha kısa istismar süreleri anlamına gelmediğini, 'sağlam mimari ve dirençli operasyonların yerini alamayacağını' söyledi. VulnCheck ürün mühendisliği başkan yardımcısı Michael Price ise AB'nin bu yaklaşımını, maliyet ve hesap verebilirliği satıcılara kaydırarak sistemik iyileştirmeler sağlayabilecek, ancak yeniliği yavaşlatma riski taşıyan bir model olarak değerlendirdi.

Detaylar ve Etkileri

Price, ABD modelini ise daha kullanıcı merkezli olarak tanımladı. ABD'de düzenlemeden kaçınma eğilimi olduğunu, bunun da şirketlerin güvenlik yerine pazara çıkış hızına odaklanmasına yol açtığını belirtti. 'ABD'de kullanıcılar ve operatörler kendilerini savunmak zorunda kalıyor. Alıcılar düzeltme talep ediyor, sigortacılar riski fiyatlandırıyor, satıcılar yanıt veriyor ancak tek bir kalıp yok' diyen Lukashekov, ABD'de piyasa baskısı, sorumluluk endişeleri ve gönüllü standartların bir arada yürüdüğünü ifade etti.

Sistem Güvenliği

Bu farklı yaklaşımlar, yama sorumluluğunun hâlâ netleşmediğini gösteriyor. AI destekli güvenlik araçları, yıllardır var olan açıkları saniyeler içinde bulup kapatabiliyor ancak bu, kurumların yama yönetimi süreçlerini tamamen AI'ya bırakabileceği anlamına gelmiyor. Uzmanlar, AI'nın keşfettiği açıkların önceliklendirilmesi, test edilmesi ve dağıtılması için insan denetiminin hâlâ kritik olduğu konusunda uyarıyor. Özellikle kritik altyapı ve finansal hizmetler gibi sektörlerde, AI önerileri insan uzmanlar tarafından doğrulanmadan uygulanmamalı.

Önemli Gelişmeler

Kurumlar için pratik çıkarımlar: Öncelikle, yama süreçlerinizi AI araçlarıyla hızlandırın ancak insan onay mekanizmalarını kaldırmayın. İkinci olarak, CERT-In gibi düzenlemelere uyum sağlamak için otomatik yama test ve dağıtım altyapınızı güçlendirin. Üçüncü olarak, AB ve ABD'deki farklı düzenleyici ortamlara hazırlıklı olun; global operasyonlarınız varsa her bölge için ayrı yama politikaları geliştirin. Son olarak, AI modellerinizin güvenlik açığı bulma yeteneklerini düzenli olarak değerlendirin ve bu yetenekleri mevcut güvenlik operasyonlarınıza entegre edin.

Kaynak: infosecurity-magazine.com

Paylaş: