OpenAI ve Anthropic gibi öncü yapay zeka laboratuvarları, Claude Mythos ve GPT-5.5 gibi en gelişmiş büyük dil modellerine (LLM) erişimi genişletiyor. Bu modellerin, güvenlik açıklarını otonom olarak bulup kapatma yetenekleri, kurumların yama süreçlerini kökten değiştiriyor. Artık sadece insan odaklı güvenlik ekipleri değil, yapay zeka da devrede.
Infosecurity Europe etkinliğinde konuşan Bayer Group CISO'su Kevin Jones, yama yaşam döngüsünün hızlandığını vurguladı. Bulut sağlayıcıları gibi büyük BT satıcılarına göre, bir güvenlik açığının keşfinden istismar edilmesine kadar geçen süre günlerden saatlere düştü. Artık yama yayınlandıktan sonra saldırganların istismar kodu geliştirmesi ortalama 6 saat 40 dakika sürüyor.
Hindistan'ın Bilgisayar Acil Müdahale Ekibi (CERT-In), bu hızlı istismar sürecine yanıt olarak yama sürelerini sıkılaştırdı. İnternete dönük aktif olarak istismar edilen açıklar için 12 saat, kritik açıklar için 24 saat ve yüksek önem dereceli açıklar için 5 gün içinde yama yapılması zorunlu hale geldi. Vulners gelir başkanı Andrey Lukashekov, bu kararın "kararlı" göründüğünü ancak büyük küresel şirketlerde zaman dilimleri, onay süreçleri ve değişiklik kontrolleri nedeniyle "lojistik bir kabusa" dönüşebileceğini belirtiyor. Bu tür katı süreler, aceleye getirilmiş yamalara veya koordinasyonun imkansız olduğu durumlarda süreçlerin bozulmasına yol açabilir.
Gelecekte Ne Bekleniyor?
AB'nin Siber Dayanıklılık Yasası (CRA) ise daha üretici odaklı bir yaklaşım benimsiyor. Lukashekov, CRA'nın üreticileri ürün güvenliğinden sorumlu tutarak güvenli geliştirme, açık ifşası ve kullanıcı bildirimi yükümlülükleri getirdiğini söylüyor. Bu yaklaşım, yasal sorumluluğu kodu yazan tarafla uyumlu hale getirdiği için politik olarak mantıklı olsa da, uyumluluğun istismar pencerelerini kısaltmayabileceği uyarısında bulunuyor.
ABD'de ise durum farklı. VulnCheck ürün mühendisliği başkan yardımcısı Michael Price, ABD'de daha pazar odaklı ve kullanıcı merkezli bir yaklaşım olduğunu belirtiyor. AB, sorumluluğu üreticilere yüklerken ABD'de düzenlemeden kaçınma eğilimi var. Price, ABD'de şirketlerin güvenlik yerine pazara çıkış süresini optimize ettiğini, bunun da son kullanıcılara yama yapma, önceliklendirme ve güvenli olmayan varsayılanları telafi etme yükü getirdiğini söylüyor. Lukashekov ise ABD'de pazar baskısı, sorumluluk endişeleri ve gönüllü standartların bir araya geldiğini, ancak tek bir kuralın olmadığını ekliyor.
Nasıl Önlem Alınmalı?
Yapay zeka destekli yama sistemleri, güvenlik açıklarının kapatılmasını hızlandırırken sorumluluk konusunda yeni bir tartışma başlatıyor. Hindistan'ın 12 saatlik yama süresi gibi katı düzenlemeler mi yoksa AB'nin üretici odaklı yaklaşımı mı daha etkili? ABD'nin kullanıcı merkezli modeli inovasyonu teşvik ederken güvenliği ihmal mi ediyor? Bu soruların cevabı, siber güvenliğin geleceğini şekillendirecek.
Kaynak: infosecurity-magazine.com