Cobalt'ın yayımladığı 'State of Pentesting Report 2026' raporuna göre, siber güvenlik profesyonellerinin otonom yapay zeka güvenlik taramalarına olan güveni ciddi şekilde sarsıldı. 2025 ve 2026 yıllarında yaklaşık 450 siber güvenlik uzmanıyla yapılan anketlere dayanan rapor, güvenlik testlerinde tamamen yapay zeka otomasyonuna güvenen kuruluşların oranının %29'dan %9'a gerilediğini gösteriyor. Bu düşüşün temel nedeni, araştırmaya katılanların %78'inin tam otomatik tarama araçlarının kritik güvenlik açıklarını gözden kaçırdığını belirtmesi oldu.
Güvende yaşanan bu erozyon, kuruluşları hibrit test modellerine yöneltti. Rapor, insan destekli yapay zeka testlerini tercih edenlerin oranının bir yılda 22 puan artarak %47'ye ulaştığını ortaya koyuyor. Aynı dönemde düşük riskli ortamlar için otomasyon kullanan kuruluşların oranı da 22 puan artarak %47'ye yükseldi. Cobalt CISO'su Andrew Obadiaru, 'Sektör yapay zeka tabanlı araçların potansiyeli konusunda haklı olarak heyecanlı olsa da, yönlendirilmemiş algoritmalar doğası gereği mevcut tarayıcılardan daha fazla yanlış pozitif ve maliyetli yanlış negatif üretmeye yatkındır' değerlendirmesinde bulundu.
Güven kaybının bir diğer önemli nedeni ise yapay zeka saldırı yüzeyinin karmaşıklığı. Rapora göre, yapay zeka sızma testlerinden elde edilen bulguların yaklaşık üçte biri yüksek riskli olarak değerlendirilirken, bu oran geleneksel yazılımların 2,7 katı seviyesinde. LLM güvenlik açıklarının yalnızca %38'i giderilebilmişken, %62'si çözümsüz kaldı. Bu, tüm varlık sınıfları arasındaki en düşük çözüm oranı olarak kaydedildi. Ortalama çözüm süresi (MTTR) ise 19 günden 36 güne çıkarak ekiplerin daha zorlu güvenlik açıklarıyla karşı karşıya olduğunu ortaya koydu.
Nasıl Önlem Alınmalı?
Rapor ayrıca yapay zeka kaynaklı olaylarda en yaygın vektörün %44 ile gölge yapay zeka (shadow AI) olduğunu, bunu %41 ile veri/model zehirlenmesi ve %41 ile hatalı çıktı işlemenin izlediğini belirtiyor. Tedarik zinciri güvenlik açıkları (%35) ve prompt injection (%34) ilk beş vektörü tamamlıyor. Güvenlik profesyonellerinin %60'ı daha güçlü LLM test yeteneklerine ihtiyaç duyduğunu ifade ederken, yalnızca %42'si insan liderliğindeki kırmızı takım operasyonlarını artırmayı planlıyor. Obadiaru, 'LLM güvenlik açıkları derinlemesine bağlama bağımlıdır ve uygulamanın mimari anlayışından yoksun araçlar tarafından görülemez. Doğrulama boşluğunu kapatmak için otomasyon tam olarak başarılı olduğu alanlarda kullanılmalı, ancak en karmaşık iş mantığı risklerini ortaya çıkarmak ve düzeltmek için seçkin insan uzmanlığı temel olmaya devam etmektedir' dedi.