Yeni yayımlanan iki araştırma, kuruluşların büyük çoğunluğunun güvenlik açığı içeren kodları bilerek dağıttığını ve yapay zeka kaynaklı risklerin tedarik zincirlerinde hızla arttığını ortaya koydu. Checkmarx tarafından 21 Mayıs'ta yayımlanan verilere göre, şirketlerin %75'i sık sık veya bazen bildiği halde güvenlik açığı bulunan kodları dağıtıyor. Bu oran geçen yılki %81'lik seviyeye göre düşüş gösterse de, giderek daha güçlü hale gelen yapay zeka modellerinin tehdit aktörlerine güvenlik açıklarını daha verimli bir şekilde bulma ve kullanma imkanı tanıdığı bir dönemde hala çok yüksek.
Checkmarx, 2018 yılında bir güvenlik açığını istismar etmenin ortalama 840 gün sürdüğünü, 2026'da bu sürenin iki günün altına düştüğünü iddia ediyor. Şirketin Checkmarx Zero ekibindeki araştırmacılar, 2028 yılına kadar istismar süresinin bir dakikaya kadar düşeceğini tahmin ediyor. Checkmarx Başkan Yardımcısı Eran Kinsbruner, sorunun büyük bir kısmının denetlenmemiş yapay zeka tarafından üretilen kodlardan kaynaklandığını savunuyor. 'Birikmiş iş yükü artık bir süreç sorunu değil; bir matematik sorunu' diyen Kinsbruner, 'Yapay zeka tarafından üretilen kod, mevcut tüm manuel düzeltme modellerini geride bırakıyor' ifadelerini kullandı.
Checkmarx'in vurguladığı riskler, başka yerlerde de yankı buldu. Geçtiğimiz hafta Verizon, Veri İhlali Araştırmaları Raporu'nda (DBIR), güvenlik açığı istismarının veri ihlallerinde ilk erişim yöntemi olarak kullanılma oranının geçen yıla göre %20'den %31'e yükseldiğini belirtti. Verizon raporu, bu artışın arkasında yapay zekanın kötü niyetli kullanımının olabileceğini öne sürüyor. Rapora göre, 'Medyan tehdit aktörü, belgelenmiş 15 farklı teknikte yapay zeka yardımı araştırdı veya kullandı; bazı aktörler 40-50 kadar tekniği kullandı.'
Nasıl Önlem Alınmalı?
Bu bulgular, bu hafta İngiltere merkezli sigorta şirketi QBE tarafından yayımlanan başka bir araştırmayla da örtüşüyor. QBE'nin araştırması, İngiltere'deki işletmelerin %75'inin, satıcı ve tedarikçilerin yapay zeka kullanmasından endişe duyduğunu ortaya koydu. Şirketler, olası tedarik zinciri olaylarına karşı zaten yüksek alarm durumunda. QBE, 'son 12 ayda bir siber olay yaşadığını' belirten katılımcıların oranının 2025'te %53'ten 2026'da %59'a yükseldiğini iddia etti. Bu yıl, katılımcıların beşte birinden fazlası (%22), maruz kaldıkları saldırıların 'tamamının veya çoğunun' bir tedarikçiyi içerdiğini belirtti.
Ancak endişelere rağmen, QBE'ye göre yapay zeka kullanan işletmelerin yalnızca %28'i, üçüncü taraf tedarikçilerinin yapay zeka sistemlerini değerlendirmek veya denetlemek için adım atarken, yalnızca %35'i resmi bir yapay zeka kullanımı veya yönetişim politikasına sahip. Bu durum, şirketlerin farkında oldukları risklere rağmen somut adımlar atmakta yetersiz kaldığını gösteriyor. Uzmanlar, yapay zeka destekli kod üretiminin hızına ayak uydurabilmek için otomatik güvenlik taramaları ve sürekli izleme sistemlerinin entegre edilmesi gerektiğini vurguluyor.
Uzmanların Görüşleri
Sonuç olarak, güvenlik açığı içeren kodların bilerek dağıtılması ve yapay zeka kaynaklı tehditlerin hızla artması, şirketlerin tedarik zinciri güvenliğine yeniden odaklanmasını zorunlu kılıyor. Yapay zeka modellerinin istismar sürelerini kısaltması, geleneksel güvenlik önlemlerinin yetersiz kaldığı anlamına geliyor. Şirketlerin, yalnızca kendi kodlarını değil, tedarikçilerinin de yapay zeka sistemlerini düzenli olarak denetlemesi ve resmi yapay zeka politikaları oluşturması kritik önem taşıyor. Aksi takdirde, siber saldırılara karşı savunmasız kalma riski her geçen gün artıyor.
Kaynak: infosecurity-magazine.com