OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, en gelişmiş büyük dil modelleri Claude Mythos ve GPT5.5'in güvenlik açıklarını otonom olarak bulup düzeltebilme yeteneklerini genişlettikçe, kurumların yamalama yöntemleri de dönüşüyor. Infosecurity Europe 2025 etkinliğinde konuşan Bayer'in Global CISO'su Kevin Jones, büyük bulut sağlayıcıları dahil görüştüğü BT satıcılarının, bir güvenlik açığının istismar edilme süresinin günlerden saatlere düştüğünü değerlendirdiğini belirtti. Jones, 'Normalde, bilinen bir istismarı olmayan bir yama yayınlandığında, yamayı ölçeklendirmek, izole sistemlerde test etmek ve internet yönelik sistemlere dağıtmak için 7-10 gününüz vardı. Artık saldırganların yamayı tersine mühendislikle incelemesi, zafiyeti bulması, istismar yazması ve uygulaması sadece 6 saat 40 dakika sürüyor' dedi.
Bu hızlı istismar sürecine yanıt olarak Hindistan Bilgisayar Olay Müdahale Ekibi (CERT-In), aktif olarak istismar edilen internet yönelik güvenlik açıkları için 12 saat, kritik açıklar için 1 gün ve yüksek önem dereceli hatalar için 5 gün içinde yama yapılmasını zorunlu kıldı. Vulners'ın gelir sorumlusu Andrey Lukashekov, bu zorunluluğun 'kararlı göründüğünü' ancak büyük küresel şirketlerde sıkı teslim tarihlerinin zaman dilimleri, onay zincirleri ve değişiklik kontrolleriyle çakışarak iyi niyetli bir kuralı 'lojistik bir kabusa' dönüştürebileceğini söyledi. Lukashekov'a göre bu tür zorunluluklar, üreticilere ve hızlı yama dağıtımına odaklanırken, koordinasyonun mümkün olmadığı durumlarda acele düzeltmeleri teşvik edebilir veya değişim süreçlerini bozabilir.
AB ve ABD'nin yamalama politikaları ise farklı yaklaşımlar sergiliyor. Lukashekov, AB'nin Siber Dayanıklılık Yasası (CRA) altındaki yaklaşımını daha açık bir şekilde üretici merkezli olarak tanımladı. CRA'nın satıcıların ürün güvenliğine sahip çıkmasını gerektirdiğini, güvenli geliştirme, ifşa ve kullanıcı bildirimi yükümlülükleri getirdiğini belirtti. Lukashekov, bu yaklaşımın politika açısından mantıklı olduğunu çünkü yasal sorumluluğu kodu yazan tarafla hizaladığını, ancak uyumun otomatik olarak daha kısa istismar süreleri anlamına gelmediğini vurguladı: 'Düzenleme hesap verebilirliği artırabilir, ancak sağlam mimari ve dayanıklı operasyonların yerini alamaz.'
VulnCheck'ten Michael Price ise ABD'deki daha piyasa odaklı, kullanıcı merkezli yaklaşımı AB'nin satıcı odaklı duruşuyla karşılaştırdı. Avrupa'nın sorumluluğu yukarı taşımaya çalıştığını, yazılım üreticilerine yasal ve teknik yükümlülükler getirerek daha güvenli ürünler tasarlamalarını sağladığını söyledi. Bunun maliyeti ve hesap verebilirliği satıcılara kaydırdığını ve sistemik iyileştirmeler sağlayabileceğini ancak inovasyonu yavaşlatma riski taşıdığını belirtti. ABD modelinde ise yükün daha çok kullanıcılara ve operatörlere düştüğünü ifade eden Price, 'ABD'de düzenlemeden kaçınma vurgusu var çünkü düzenleyiciler büyümeyi yavaşlatabilir. Bu nedenle birçok şirket güvenlik yerine pazara çıkış süresini optimize ediyor' dedi. Lukashekov da ABD uygulamasının tek bir kuralcı tempo yerine piyasa baskısı, sorumluluk değerlendirmeleri ve gönüllü standartları birleştirdiğini belirterek 'ABD'de alıcılar düzeltme talep eder, sigortacılar riski fiyatlandırır ve satıcılar yanıt verir, ancak herkese uyan tek bir çözüm yok' diye ekledi.