Cobalt'ın yayımladığı 'Pentest Raporu 2026', otomatik yapay zeka güvenlik taramalarına olan güvenin ciddi şekilde sarsıldığını gösteriyor. 2025 ve 2026 yıllarında yaklaşık 450 siber güvenlik profesyoneliyle yapılan karşılaştırmalı anketlere dayanan rapora göre, tamamen otomatik yapay zeka testlerine güvenen kuruluşların oranı yüzde 29'dan yüzde 9'a geriledi. Katılımcıların neredeyse yarısı (yüzde 47) artık hibrit bir test modelini tercih ediyor. Ankete katılanların yüzde 78'i ise tam otomatik tarama araçlarının kritik güvenlik açıklarını gözden kaçırdığını belirtti.
Hibrit modele olan talep bir yılda 22 puan artarak yüzde 47'ye ulaştı. Düşük riskli ortamlarda otomasyon kullanan kuruluşların oranı da aynı oranda (yüzde 22) artış gösterdi. Cobalt CISO'su Andrew Obadiaru, 'Sektör haklı olarak büyük dil modelleri (LLM) tabanlı araçların potansiyelinden heyecan duysa da, rehbersiz algoritmalar doğası gereği mevcut otomatik tarayıcılardan daha fazla yanlış pozitif ve maliyetli yanlış negatif üretmeye yatkındır' dedi.
Güven kaybının en büyük nedenlerinden biri, bu tarayıcıların test ettiği yapay zeka saldırı yüzeyinin karmaşıklığı. Rapora göre, yapay zeka pentest bulgularının yaklaşık üçte biri yüksek riskli olarak sınıflandırılıyor; bu oran geleneksel yazılımların 2,7 katı. LLM güvenlik açıklarının yalnızca yüzde 38'i düzeltilmiş durumda, yüzde 62'si ise hala açık. Bu, tüm varlık sınıfları arasında en düşük çözüm oranı. Yapay zeka/LLM güvenlik sorunlarının ortalama çözüm süresi 19 günden 36 güne çıktı.
Teknik Analiz
Yapay zeka kaynaklı olaylar yaşayan kuruluşlarda en yaygın vektör yüzde 44 ile gölge yapay zeka (shadow AI) olurken, onu yüzde 41 ile veri/model zehirlenmesi ve yanlış çıktı işleme takip etti. Tedarik zinciri zayıflıkları (yüzde 35) ve prompt injection (yüzde 34) ilk beşi tamamladı. Güvenlik profesyonellerinin yüzde 60'ı daha güçlü LLM test yeteneklerine ihtiyaç duyduğunu belirtirken, yalnızca yüzde 42'si insan liderliğindeki kırmızı takım operasyonlarını artırmayı planlıyor.