Siber Güvenlikte Yeni Dönem: Yapay Zeka On Yıllık Açıkları Bulurken Yamalama Sorumluluğu Tartışmalı Siber Güvenlik

Siber Güvenlikte Yeni Dönem: Yapay Zeka On Yıllık Açıkları Bulurken Yamalama Sorumluluğu Tartışmalı

OpenAI ve Anthropic'in yapay zeka modelleri açıkları otonom bulup düzeltirken, yama süreleri kısalıyor ve sorumluluk tartışmaları alevleniyor.

Önde gelen iki yapay zeka laboratuvarı OpenAI ve Anthropic, en gelişmiş büyük dil modelleri olan Claude Mythos ve GPT5.5'e erişimi genişletiyor. Bu modellerin, güvenlik açıklarını otonom olarak bulup düzeltebildiği kanıtlanınca, kuruluşların yama yönetim şekli de değişiyor. Infosecurity Europe'da konuşan Bayer'in Grup CISO'su Kevin Jones, bulut hiper ölçekleyicileri de dahil olmak üzere konuştuğu BT satıcılarının, bir açığın istismar edilme süresinin günlerden saatlere düştüğünü değerlendirdiğini söyledi. Eskiden yama yayınlandıktan sonra 7-10 günlük bir pencere varken, şimdi tehdit aktörlerinin bir yamayı tersine mühendislikle analiz edip istismar yazması ve devreye alması sadece 6 saat 40 dakika sürüyor.

Bu hızlı değişime yanıt olarak Hindistan Bilgisayar Acil Durum Müdahale Ekibi (CERT-In), internet üzerinden aktif olarak istismar edilen açıklar için 12 saat, kritik açıklar için 1 gün ve yüksek önemli hatalar için 5 gün içinde yama yapılmasını zorunlu kıldı. Vulners'dan Andrey Lukashekov, bu tür bir zorunluluğun "kararlı" göründüğünü ancak büyük, küresel kuruluşlarda sıkı teslim tarihlerinin zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çarpıştığını belirtti. Bu durumun iyi niyetli bir kuralı "lojistik kabusa" dönüştürebileceğini ve güvenli düzeltmeyi engelleyebileceğini ekledi.

Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) yaklaşımını daha açık bir şekilde üretici merkezli olarak tanımladı. CRA'nın satıcılara ürün güvenliğini sahiplenme yükümlülüğü getirdiğini, güvenli geliştirme, ifşa ve kullanıcı bildirimi için zorunluluklar oluşturduğunu söyledi. Bu yaklaşımın politika açısından mantıklı olduğunu ancak uyumluluğun otomatik olarak daha kısa istismar süreleri anlamına gelmediğini vurguladı. "Düzenleme hesap verebilirliği artırabilir, ancak sağlam mimari ve dirençli operasyonların yerini alamaz," dedi.

Sonuç ve Değerlendirme

VulnCheck'ten Michael Price ise AB'nin satıcı odaklı yaklaşımını, ABD'nin daha pazar odaklı ve kullanıcı merkezli yaklaşımıyla karşılaştırdı. Avrupa'nın sorumluluğu yukarı taşımaya çalıştığını, ABD'de ise düzenlemeden kaçınma eğilimi olduğunu belirtti. ABD'de birçok şirketin güvenlikten ziyade pazara çıkış süresine odaklandığını, bunun da son kullanıcılara yama yapma, önceliklendirme ve güvenli olmayan varsayılanları telafi etme yükü bıraktığını söyledi. Lukashekov, ABD uygulamasının tek bir kuralcı tempo yerine pazar baskısı, sorumluluk değerlendirmeleri ve gönüllü standartların bir karışımı olduğunu ekledi.

Paylaş: