Cobalt'ın yeni bir araştırması, çok sayıda yanlış negatifin, güvenlik açıklarına yönelik otomatik yapay zeka testlerine olan güveni önemli ölçüde aşındırdığını ortaya çıkardı.
Kobalt Sızma Testi Durumu Raporu 2026, yaklaşık 450 siber güvenlik profesyonelinin 2025 ve 2026'da yaptığı iki karşılaştırmalı ankete dayanmaktadır.
Test için tamamen yapay zeka otomasyonuna güvenen kuruluşların yüzdesinin dönem içinde %29'dan %9'a düştüğünü ve yanıt verenlerin neredeyse yarısının (%47) artık hibrit bir test modelini tercih ettiğini buldu.
Dörtte üçünden fazlası (%78) tam otomatik tarama araçlarının kritik güvenlik açıklarını gözden kaçırdığını söyledi.
Sistem Güvenliği
Pen testi hakkında daha fazlasını okuyun: AWS, Yapay Zeka Destekli Güvenlik Açığı Yönetim Platformu 'Continuum'u Tanıttı
Artık insanların yapay zeka testlerini desteklediği hibrit bir modeli tercih eden kuruluşların payı bir yılda yüzde 22 arttı. Düşük riskli ortamlar için otomasyonu kullanan kuruluşların yüzdesi de 22 puan artarak %47'ye yükseldi.
Cobalt'ın CISO'su Andrew Obadiaru şöyle konuştu: "Sektör Mythos sınıfı araçların potansiyeli konusunda haklı olarak heyecan duysa da, güdümsüz algoritmalar doğası gereği bugün sahip olduğumuz otomatik tarayıcılara göre çok daha fazla yanlış pozitif ve maliyetli yanlış negatif sonuç döndürmeye eğilimlidir."
Nasıl Önlem Alınmalı?
Yapay Zeka Saldırı Yüzeyi Genişliyor
Raporda, yapay zeka otomasyonuna duyulan güvenin azalmasının büyük nedeninin, bu tarayıcıların test ettiği yapay zeka saldırı yüzeyinin karmaşıklığı olduğu belirtildi.
Detaylar ve Etkileri
Yapay zeka sızma testinden elde edilen bulguların neredeyse üçte biri yüksek riskli olarak değerlendiriliyor; bu, geleneksel yazılımların ortalamasının 2,7 katı.
Analiz sırasında LLM güvenlik açıklarının beşte ikisinden azı (%38) düzeltilirken %62'si açık kaldı; bu, herhangi bir varlık sınıfının en düşük çözüm oranıydı.
AI/LLM güvenlik sorunlarının ortalama çözümlenme süresi (MTTR) bu dönemde 19 günden 36 güne çıktı; Cobalt, bunun ekiplerin eskisinden "önemli ölçüde daha sert güvenlik açıklarını" takip ettiğini gösterdiğini iddia etti.
Obadiaru şöyle devam etti: "LLM güvenlik açıkları büyük ölçüde bağlama bağlıdır ve uygulamanın mimari anlayışından yoksun araçlar için görünmezdir." "Doğrulama açığını kapatmak için otomasyonun tam olarak üstün olduğu yere dağıtılması gerekiyor, ancak seçkin insan uzmanlığı, en karmaşık iş mantığı risklerinin ortaya çıkarılması ve iyileştirilmesinde temel olmaya devam ediyor."
Gelecekte Ne Bekleniyor?
Yapay zeka ile ilgili olaylarla karşılaşan kuruluşlar arasında en yaygın olanı gölge yapay zeka (%44) olurken, onu veri veya model zehirlenmesi (%41) ve uygunsuz çıktı işleme (%41) izledi. Tedarik zinciri zayıflıkları (%35) ve hızlı enjeksiyon (%34) ilk beş vektörü tamamladı.
Güvenlik profesyonellerinin %60'ı daha güçlü LLM test yeteneklerine ihtiyaç duyduklarını söylese de yalnızca %42'si insan liderliğindeki kırmızı ekip operasyonlarını artırmayı planlıyor.