OpenAI, Güvenli Tasarım Yazılımı Oluşturmaya Yardımcı Olmak İçin 'Daybreak'i Başlattı Siber Güvenlik

OpenAI, Güvenli Tasarım Yazılımı Oluşturmaya Yardımcı Olmak İçin 'Daybreak'i Başlattı

OpenAI, geliştiricilerin sıfırdan güvenli yazılım oluşturmasına yardımcı olmak için sınır büyük dil modellerine (LLM'ler) ve AI kodlama asistanı Codex...

OpenAI, geliştiricilerin sıfırdan güvenli yazılım oluşturmasına yardımcı olmak için sınır büyük dil modellerine (LLM'ler) ve AI kodlama asistanı Codex'e dayanan yeni bir girişim olan Daybreak'i duyurdu.

12 Mayıs'ta açıklanan OpenAI, Daybreak'in, belirli sınır modellerine erişimi belirli sayıda kuruluşa ayıran bir program olan Siber için Güvenilir Erişim (TAC) programından oluşturulduğunu söyledi.

Girişim halihazırda OpenAI'nin en yeni üç modelini içeriyor: GPT‑5.5'in genel amaçlı sürümü; Yetkili ortamlarda doğrulanmış savunma çalışmaları için daha hassas korumalar sunan TAC'li GPT‑5.5; ve GPT‑5.5‑Cyber. Ayrıca, şu anda yalnızca araştırma önizlemesi olarak kullanılabilen, Codex'i temel alan bir kod inceleme asistanı olan Codex Security'yi de içerir.

TAC programının öncelikli olarak güvenlik açıklarını belirlemek ve düzeltmek için LLM'lerden yararlanan incelenmiş kullanıcılara odaklandığı yerde Daybreak, güvenlik açığı sorununu yazılım geliştirme yaşam döngüsünün başlangıcından itibaren çözmeyi hedefliyor.

Gelecekte Ne Bekleniyor?

Infosecurity'ye konuşan Aviatrix Cloud Native Security Fabric Kıdemli Başkan Yardımcısı ve Genel Müdürü Willie Tejada, OpenAI'nin basın bülteninin kasıtlı olarak geniş kapsamlı olduğunu çünkü Daybreak'in "bir model duyurusu değil, bir platform oyunu" olduğunu açıkladı.

Önemli Gelişmeler

Girişimin siber savunucuların üç şey yapmasına yardımcı olmayı amaçladığını söyledi: gerçekçi saldırı yollarına odaklanan belirli bir kod deposu için düzenlenebilir bir tehdit modeli oluşturmak, yalıtılmış bir ortamda güvenlik açıklarını keşfetmek ve test etmek ve doğrudan depoda yamalar önermek ve doğrulamak.

Tejada, "Konu, saatlerce süren manuel güvenlik analizini dakikalara sıkıştırmasıdır" diye ekledi.

Sistem Güvenliği

OpenAI, sosyal medyada yayınlanan bir dizi kısa videoda, yazılım geliştiricilerin ve siber güvenlik savunucularının girişimin bir parçası olarak gerçekleştirebilecekleri bazı görevleri paylaştı. Bunlar şunları içerir:

Codex Security'nin 10 alt aracısını kullanarak bir kod tabanını taramak, güvenlik açıklarını belirlemek, bunları düzeltmek ve regresyon testleri eklemek

Güvenlik açığı birikimini tetiklemek, düzeltilmesi gereken güvenlik açıklarını önceliklendirmek (örneğin önem derecesine, etkiye veya yararlanılabilirliğe göre) ve çekme isteklerini açmak için aracıları dağıtmak

Güvenlik açığı tespitini, doğrulamayı ve yanıtı otomatikleştirme (örneğin, en son CVE'leri aramak, bunların iş üzerindeki etkilerini araştırmak için bir aracıyı dağıtmak, istismar kanıtları için günlükleri aramak)

Teknik Analiz

OpenAI duyurusunda "Amaç basit: siber savunucuları hızlandırmak ve yazılımı sürekli olarak güvence altına almak" dedi. "Aynı yetenekler kötüye kullanılabildiğinden Daybreak, savunma kapasitesini güven, doğrulama, orantılı koruma ve hesap verebilirlikle genişletti."

Tejada'ya göre Daybreak, "GitHub Copilot'un kodlama asistanı pazarını ele geçirmesi gibi, OpenAI'nin de güvenlik geliştirici araç zincirine sahip olma teklifidir."

Sonuç ve Değerlendirme

Şirket ayrıca yakında endüstri ve hükümet ortaklarıyla işbirliği içinde yeni "siber yetenekli modeller" uygulamaya koyacağını da söyledi.

Mayıs 2026 itibarıyla OpenAI, TAC programının yüzlerce kuruluşu ve "binlerce bireysel savunucuyu" içerdiğini söyledi.

Bunlar arasında Akamai, Cisco, Cloudflare, CrowdStrike, Fortinet, NVIDIA, Oracle, Palo Alto Networks, Sophos ve Zscaler gibi BT ve siber güvenlik kuruluşları yer alıyor.

TAC ayrıca Bank of America, BBVA, BlackRock, BNY, Citibank, Goldman Sachs, JPMorgan Chase, Morgan Stanley ve US Bank gibi özellikle finans ve özel sermaye alanlarındaki büyük işletmeleri de içeriyor.

ABD Yapay Zeka Standartları ve İnovasyon Merkezi (CAISI) ve Birleşik Krallık Yapay Zeka Güvenlik Enstitüsü (UK AISI) gibi yalnızca birkaç hükümet bağlantılı araştırma kuruluşu şu anda TAC programının bir parçası olsa da OpenAI, Mayıs ayı başlarında programı daha fazla devlet kurumuna genişletme niyetini doğruladı.

Cisco'nun güvenlik ve güven sorumlusu Kıdemli Başkan Yardımcısı Anthony Grieco, GPT 5.5 gibi sınır modellerinin "savunmacılar için güçlü güç çarpanları" olduğuna inanıyor.

Detaylar ve Etkileri

"Operasyonlarımızın hızını temelden değiştiriyorlar ve olay araştırmasından proaktif maruziyetin azaltılmasına kadar her konuda daha hızlı hareket etmemizi sağlıyorlar" dedi.

"Ancak hız, güven karşılığında takas edilemez. Bu teknolojinin gerçek değeri yalnızca modelde değil, onu sardığımız kurumsal kullanıma hazır çerçevede bulunur. Daha güvenli ürünler üretmemize yardımcı olan bir çerçeve. Odak noktamız, güvenli geliştirme ve operasyon süreçlerimizi bu yeni yeteneklerle dönüştürmektir. Bizim için bu, hızlı olduğu kadar güvenilir de olan inovasyonu mümkün kılmakla ilgilidir."

Uzmanlar Yapay Zeka Destekli Güvenlik Açığı Araştırmasıyla İlgili Endişelerini Dile Getiriyor

Uzmanların Görüşleri

Pek çok uzman, Daybreak'in piyasaya sürülmesini yapay zeka sınırlarını kullanma çabasında doğru yönde atılmış bir adım olarak görüyor. Diğer yazılım geliştirme görevlerinin yanı sıra güvenlik açıklarının giderilmesine yardımcı olacak modeller de pek çok endişeyi gündeme getirdi.

Nasıl Önlem Alınmalı?

Veri güvenliği çözümleri sağlayıcısı Sentra'da siber güvenlik savunucusu olan David Stuart, öncü yapay zeka ajanlarının yeteneklerinin kilidini açmak için kuruluşların bu sistemlerin ortamlarına erişmesine izin vermesi gerektiği konusunda uyardı.

"Bu, kod depolarını, altyapı yapılandırmalarını ve derleme hatlarını içerebilir. Bu araçları tanıtmadan önce kuruluşların, bu ortamlarda hangi hassas verilerin bulunduğunu ve bunların bir yapay zeka aracısının onunla etkileşime girmesi için yeterince iyi yönetilip yönetilmediğini anlaması gerekir" dedi.

"Bu araçları kullanışlı kılan erişim aynı zamanda onları veri saldırısı yüzeyinin bir parçası haline getiriyor. Bu yönetişim çalışmasının, aracı konuşlandırılmadan önce gerçekleşmesi gerekiyor."

Bu arada, AppSec şirketi Xint.io'nun güvenlik açığı araştırmacısı ve CTO'su Andrew Wesie, güvenlik açığı araştırmacılarının, kendilerini kilitleyecek pahalı bir ekosistemde sıkışıp kalmak istemiyorlarsa OpenAI ve Anthropic gibi GenAI şirketlerinin sunduğu güvenlik tekliflerinin ayrıntılarından haberdar olmalarını sağlamaları gerektiğini söyledi.

"Örneğin, [Daybreak] değerlendirmeleri sırasında kaç token yakıldı, yanlış pozitif oranı nedir ve milyonlarca kod satırına sahip kurumsal kod tabanları için fiyatlandırma nasıl işleyecek? Bu bilgi olmadan ekiplerin AppSec işlem hatlarını monolitik modeller etrafında oluşturması gerekip gerekmediğini bilmek zor" diye uyardı.

Birçoğu, yapay zeka destekli güvenlik açığı araştırmalarının demokratikleşmesinin memnuniyetle karşılanacağına inanıyor. Ancak Tanium'un tehdit araştırması ve istihbarat başkanı Melissa Bischoping, bunun aynı zamanda "iyileştirme etrafındaki darboğazları da daralttığı" konusunda uyardı.

Yazılım şirketleri "benzeri görülmemiş bir hızda" hata düzeltmeleri bulup geliştirdikçe, yazılımın tüketicileri yamaları dağıtmaya hazır olmayabilir.

"Günümüzde pek çok kuruluş, son birkaç yılın ölçeğinde aylık yama uygulamasının 'eski yöntemi' ile hâlâ mücadele ediyor. Bu gemi yola çıktı ve bu çağ için yamalama sistemlerimizi yeniden düşünmeli ve yeniden inşa etmeliyiz" dedi.

Hatalar ortaya çıktıkça yama yönetimi ekiplerinin "haftada düzinelerce veya yüzlerce mikro yamayla" uğraşmak zorunda kalacağını savundu.

Yapay zeka iş akışları için tasarlanmış veri güvenliği çözümleri sağlayan Protegrity'nin kıdemli ürün güvenliği mimarı Clyde Williamson, güvenlik açıklarını bulmanın hiçbir zaman en zor sorun olmadığını, önceliklendirme olduğunu belirtti.

Bu makale, siber güvenlik uzmanlarının yorumlarını eklemek üzere 13 Mayıs'ta güncellendi.

Görsel katkıları: Thrive Studios ID / TY Lim / Shutterstock.com

Paylaş: