OpenAI ve Anthropic gibi önde gelen yapay zeka laboratuvarları, Claude Mythos ve GPT5.5 gibi en gelişmiş büyük dil modellerine erişimi genişletiyor. Bu modellerin güvenlik açıklarını otonom olarak bulup düzeltebilme yetenekleri, kuruluşların yama süreçlerini kökten değiştiriyor. Infosecurity Europe'da konuşan Bayer'in Grup CISO'su Kevin Jones, bulut sağlayıcılarının bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü belirtti. Eskiden yama yayınlandıktan sonra 7-10 günlük bir pencere varken, artık tehdit aktörleri 6 saat 40 dakika içinde açığı tersine mühendislikle çözüp istismar edebiliyor.
Hindistan'ın Bilgisayar Olaylarına Müdahale Ekibi (CERT-In), bu tehdide yanıt olarak aktif olarak istismar edilen internet yönelik açıklar için 12 saat, kritik açıklar için 1 gün ve yüksek önemli açıklar için 5 gün içinde yama yapılmasını zorunlu kıldı. Vulners'dan Andrey Lukashekov, bu zorunluluğun kararlı göründüğünü ancak büyük küresel kuruluşlarda zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çakışarak 'lojistik bir kabusa' dönüşebileceğini söyledi. Ona göre bu tür zorunluluklar üreticilere baskı yaparak hızlı yama teslimatını teşvik ederken, acele düzeltmeler veya süreç ihlallerine yol açabilir.
Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) yaklaşımını daha üretici merkezli olarak değerlendirdi. CRA, satıcıların ürün güvenliğini sahiplenmesini zorunlu kılarak güvenli geliştirme, açıklama ve kullanıcı bildirimi yükümlülükleri getiriyor. Lukashekov, bu yaklaşımın yasal sorumluluğu kodu yazan tarafla hizaladığı için mantıklı olduğunu ancak uyumluluğun kısa istismar pencerelerini otomatik olarak daraltmayacağını belirtti. 'Düzenleme hesap verebilirliği artırabilir, ancak sağlam mimari ve dayanıklı operasyonların yerini alamaz' dedi.
VulnCheck'ten Michael Price, AB'nin satıcı odaklı yaklaşımını ABD'nin daha pazar odaklı, kullanıcı merkezli yaklaşımıyla karşılaştırdı. Price'a göre AB, yazılım üreticilerine yasal ve teknik yükümlülükler getirerek sorumluluğu yukarı taşımaya çalışırken, ABD genellikle yükü kullanıcılara ve operatörlere bırakıyor. ABD'de düzenlemeden kaçınma eğilimi, şirketlerin güvenlik yerine pazara çıkış süresine odaklanmasına yol açıyor. Lukashekov, ABD'de alıcı talepleri, sigortacı risk fiyatlaması ve satıcı yanıtlarının bir yama işi oluşturduğunu, tek bir standart olmadığını ekledi.