Yapay zeka (YZ), siber güvenlik alanında adeta bir dönüm noktası yaratıyor. Yeni keşfedilen yazılım açıklarını istismar etmek artık aylar değil, dakikalar alıyor. Üstelik bu süreç, sadece birkaç kuruşa mal oluyor. Ancak YZ’nin bu hızlı ve ucuz saldırı yeteneği, ona karşı savunma mekanizmalarını da güçlendirme fırsatı sunuyor. Uzmanlar, yapay zekanın siber güvenlikte hem tehdit hem de çözüm kaynağı olabileceği bir dönemin başladığını söylüyor.
Son zamanlarda gündeme gelen Anthropic’in Project Glasswing ismiyle bilinen araştırması, bu durumun çarpıcı bir örneği. Anthropic’in Claude Mythos modeli, şimdiden binlerce sıfır-gün açığını (henüz keşfedilmemiş kritik güvenlik zaaflarını) tespit etti. Bu açıkların her biri, popüler işletim sistemleri ve internet tarayıcılarını etkiliyor. Araştırmacılar, bulunan bu güvenlik açıklıklarının kapatılması için ilgili firmalarla koordineli çalışıyor. Böylece saldırıların önüne geçmek için proaktif adımlar atılıyor.
YZ ile güvenlik açığı keşfi yeni bir olgu değil. Geçmişte, rastgele hatalar arayan ve milyonlarca veri girişi deneyerek açık bulan “fuzzing” adlı yöntemler vardı. Ancak bu yöntemi uygulamak yüksek teknik uzmanlık gerektiriyordu. Buna karşın, günümüzde büyük dil modelleriyle (LLM) bu süreç sadece doğru bir komut girmek kadar kolay hale geldi. Bu durum adeta saldırganlarla savunmacılar arasında yeni ve zorlu bir asimetri yaratıyor. Artık kötü niyetli kişiler teknik bilgiye çok az ihtiyaç duyarak saldırılarını artırabilirken, savunma mühendisleri açıkları analiz edip kalıcı çözümler üretmek zorunda kalıyor.
Peki, yapay zeka açıkları bulma konusunda ne kadar başarılı? Eski güvenlik uzmanlarından Peter Gutmann’ın da belirttiği üzere, pek çok yazılım güvenliği şimdiye dek sadece “kimse yeterince incelemediği için” dayanıyordu. Şimdi ise YZ bu inceleme süreçlerini hem ucuzlatıyor hem de büyütüyor. Açık kaynak projelerin büyük çoğunluğu küçük ekipler veya gönüllüler tarafından yönetildiği için kritik açıkların fark edilmemesi yaygın bir sorun. Örneğin Log4j kütüphanesi üzerindeki bir zafiyet milyonlarca cihazı etkileyerek bu sorunun ne kadar büyük olduğunu ortaya koydu.
YZ destekli araçlar, bu zafiyetleri hızlıca bularak saldırganların işini kolaylaştırıyor. New York Üniversitesi’nin araştırmasına göre, dil modelleri kullanılarak tam otomatik fidye yazılım saldırıları sadece 70 sente mal olabiliyor ve insan müdahalesi olmadan tamamlanabiliyor. Savunma cephesindeyse işin sadece başlangıcı yaşanıyor. Uzmanlar, AI’nın bulduğu açıklar üzerinde çalışıp güvenli düzeltmeler yapmak ve bunları hatasız uygulamak zorundalar. Bu süreç, özellikle gönüllü ekipler için ciddi bir yük oluşturuyor.
Hükümetler ve teknoloji şirketleri, zararlı yapay zeka kullanımını engellemek için önlemler almaya çalışıyor. Ancak yapılan müdahaleler yeterince kapsamlı değil. Yapay zeka, kötü amaçları meşrulaştıracak şekilde yönlendirilebildiği için kötü niyetli komutları tamamen engellemek mümkün olmuyor. Ayrıca, küresel internet ortamı göz önüne alındığında, tek bir ülkenin regülasyonları yetersiz kalıyor.
Bazı teknoloji şirketleri, yapay zekanın keşfettiği açıkları otomatik olarak onarabilecek sistemler üzerinde çalışıyor. Örneğin GitHub Copilot Autofix gibi araçlar zafiyetleri tespit edip otomatik patch üretebiliyor. Fakat otomatik düzeltmeler bazen yeni sorunlar yaratabiliyor veya güvenlik açığı oluşturacak kod hataları içerebiliyor. Üstelik bu yaklaşım, yazılımın güvenlik sorunlarını tamamen ortadan kaldırmıyor. Çünkü en etkili yöntem, baştan güvenli kod yazmak.
Güvenlikte temel çözüm ise “bellek güvenliği” sağlayan programlama dillerinin kullanımı. Google ve Microsoft gibi devler, ciddi güvenlik açıklarının yaklaşık %70’inin bellek yönetimi hatalarından kaynaklandığını tespit etmiş durumda. C ve C++ gibi diller, geliştiricilere bellek yönetimi konusunda tam kontrol veriyor ve hata riski yüksek. Rust gibi bellek güvenli dilleri ise bu tür hataları baştan engelliyor. Ancak, eski kod tabanları uzun süre kullanıldığından, bu geçiş zaman alacak.
Ayrıca, modern yazılım savunmaları için “sandboxing” yani uygulamaların belli sınırlarla izole edilmesi önemli bir tamamlayıcı güvenlik önlemi sunuyor. WebAssembly gibi teknolojiler, sanal kalkanlar oluşturarak olası saldırıların zararını sınırlıyor. Ancak yapay zekanın bazı durumlarda bu koruma önlemlerini aşabildiği de gözlemleniyor.
En gelişmiş savunma yöntemlerinden biri “formal doğrulama”. Bu yöntem, yazılımın belirli türde hatalar içermediğini matematiksel olarak kanıtlamaya çalışıyor. Amazon Web Services ve Google gibi teknoloji devleri, kritik altyapılarında bu yöntemi kullanarak yüksek güvenlik sağlıyor. Originelleştirilmiş araçlarla günlük kodlarda da bu tekniklerin uygulanması giderek kolaylaşıyor. Bu sayede, yapay zeka destekli saldırılar karşısında bile yazılım sağlam kalabiliyor.
Sonuç olarak, yapay zeka hem tehdit hem de savunma aracıdır. Bu güçlü teknoloji, siber güvenlikte yeni standartlar ve araçlar geliştirerek güvenlik açıklarının erken tespitini kolaylaştırıyor. Ancak gerçek başarı, güvenli programlama dillerine geçiş yapmak, doğru sandbox uygulamak ve formal doğrulama ile kodları sağlamlaştırmakla mümkün. Gelecekte yapay zeka, bu zor dönüşümlerde mühendislerin en büyük destekçisi olacak ve dijital dünyayı daha güvenli hale getirecek.
📎 Kaynak: spectrum.ieee.org
