Yapay Zeka On Yıllık Güvenlik Açıklarını Ortaya Çıkarırken Yamalama Sorumluluğu Hâlâ Belirsiz Siber Güvenlik

Yapay Zeka On Yıllık Güvenlik Açıklarını Ortaya Çıkarırken Yamalama Sorumluluğu Hâlâ Belirsiz

AI, yıllardır var olan güvenlik açıklarını otonom keşfedip düzeltirken, yama süresi hızlanıyor. Hindistan 12 saat yama zorunluluğu getirirken AB ve AB

OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, en gelişmiş büyük dil modelleri Claude Mythos ve GPT5.5'e erişimi genişletirken, bu modellerin güvenlik açıklarını otonom bulup düzeltebildiği görülüyor. Infosecurity Europe etkinliğinde konuşan Bayer'in Grup CISO'su Kevin Jones, BT satıcılarının kendisine bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü söylediğini aktardı. Eskiden yama yayınlandıktan sonra 7-10 günlük bir pencere varken, artık tehdit aktörleri bu süreyi 6 saat 40 dakikaya indirmiş durumda.

Bu hızlı değişime yanıt olarak Hindistan'ın Bilgisayar Olaylarına Müdahale Ekibi (CERT-In), internet üzerinden aktif olarak istismar edilen güvenlik açıkları için 12 saat, kritik açıklar için 1 gün ve yüksek önemdeki açıklar için 5 gün içinde yama yapılmasını zorunlu kıldı. Vulners'ın gelir başkanı Andrey Lukashekov, bu zorunluluğun 'kararlı' göründüğünü ancak büyük küresel şirketlerde zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çarpışarak 'lojistik bir kabusa' dönüşebileceğini belirtti. Aceleyle yapılan yamaların güvenli düzeltmeyi engelleyebileceği uyarısında bulundu.

Buna karşılık Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) altındaki yaklaşımını daha üretici odaklı olarak tanımladı. CRA, satıcıların ürün güvenliğini sahiplenmesini zorunlu kılarak güvenli geliştirme, açıklama ve kullanıcı bildirimi yükümlülükleri getiriyor. Lukashekov, düzenlemenin hesap verebilirliği artırabileceğini ancak sağlam mimari ve dayanıklı operasyonların yerini alamayacağını söyledi. VulnCheck'in ürün mühendisliği başkan yardımcısı Michael Price ise AB'nin satıcı odaklı yaklaşımını ABD'nin daha pazar odaklı, kullanıcı merkezli yaklaşımıyla karşılaştırdı.

Sonuç ve Değerlendirme

Price, ABD'de düzenlemeden kaçınma eğilimi olduğunu, bunun da şirketleri güvenlik yerine pazara çıkış hızına odaklanmaya yönelttiğini belirtti. Bu durumda son kullanıcılar güvenli olmayan varsayılan ayarlarla başa çıkmak zorunda kalıyor. Lukashekov, ABD'de alıcı talepleri, sigortacı risk değerlendirmesi ve satıcı yanıtlarının bir araya geldiği bir yama beklentileri mozaiği olduğunu, tek bir kuralın bulunmadığını ekledi. Infosecurity Europe'da tartışılan bu farklı yaklaşımlar, yapay zeka çağında yama sorumluluğunun hâlâ netleşmediğini gösteriyor.

Paylaş: