Yapay zekâ destekli güvenlik taramalarının açık kaynak projelerinde daha önce tespit edilemeyen binlerce güvenlik açığını ortaya çıkarması, yazılım güvenliği alanında yeni bir dönemi başlattı. Chainguard öncülüğünde kurulan Athena koalisyonu, 20 binden fazla güvenlik bulgusunu analiz ederek 2 binden fazla düzeltme hazırladığını açıkladı. Önümüzdeki haftalarda başlayacak toplu güvenlik duyurularının özellikle kurumsal BT ekipleri için yoğun bir yama süreci oluşturması bekleniyor.

Athena Koalisyonu Açık Kaynak Güvenliğinde Ortak Hareket Ediyor

Chainguard CEO’su Dan Lorenc, gelişmiş yapay zekâ modellerinin aynı kod tabanında her taramada yeni güvenlik açıkları bulmaya devam ettiğini belirterek açık kaynak ekosisteminin alışılmış zafiyet yönetimi süreçlerinin artık yeterli olmadığını söyledi. Athena koalisyonu; Cisco, Cloudflare, Docker, JPMorganChase, PwC, Kyndryl ile BNY gibi çok sayıda teknoloji ve finans şirketini aynı güvenlik çatısı altında buluşturuyor.

Koalisyonun temel amacı, farklı şirketlerin keşfettiği açıkları tek merkezde toplayarak tekrar eden raporları ayıklamak, benzer güvenlik problemlerini birlikte değerlendirmek, açık kaynak bakım ekiplerine tek noktadan koordineli destek sunmak. Açık kaynak güvenliği için geliştirilen bu model, aynı zafiyetin yüzlerce farklı rapor hâlinde proje geliştiricilerine ulaşmasını önlemeyi hedefliyor.

Anthropic’in Project Glasswing ile OpenAI Daybreak programlarına katılan şirketler, en gelişmiş yapay zekâ güvenlik modellerini kullanarak kod taraması yapabiliyor. Yapay zekâ destekli güvenlik taraması yalnızca kurumların kendi yazılımlarını değil, kullandıkları üçüncü taraf bileşenleri de ayrıntılı biçimde inceleyebiliyor.

Kurumsal uygulamalardaki kodun büyük bölümü açık kaynak bileşenlerinden oluşuyor. Şirketler kendi geliştirdikleri yazılımlardaki açıkları hızla kapatabilirken üçüncü taraf kütüphanelerde bulunan binlerce güvenlik açığı doğrudan geliştirici topluluklarının müdahalesini gerektiriyor.

Binlerce Güvenlik Açığı Aynı Anda Ortaya Çıkıyor

Chainguard’ın paylaştığı verilere göre Athena şimdiye kadar 500’den fazla açık kaynak projesinde 20 bini aşkın güvenlik bulgusunu işledi. Koalisyon bu çalışmalar sonucunda 2 binden fazla düzeltme paketi hazırlarken ilk toplu güvenlik bildirimlerinin üç hafta içinde yayımlanacağını duyurdu.

Anthropic de daha önce Mythos Preview modeliyle binin üzerinde açık kaynak projeyi tarayarak 6.202 kritik veya yüksek riskli güvenlik açığı belirlediğini açıklamıştı. Yapay zekâ ile zafiyet keşfi klasik statik analiz araçlarının uzun süre fark edemediği yazılım hatalarını ortaya çıkarabiliyor.

Bir güvenlik açığının kamuoyuna açıklanmasıyla gerçek saldırılarda kullanılmaya başlanması arasındaki süre her geçen yıl daha da kısalıyor. Güvenlik araştırmacıları, koordineli güvenlik bildirimi süreçlerinin bu nedenle her zamankinden daha kritik hâle geldiğini değerlendiriyor.

Linux Foundation, Athena girişimine paralel olarak Akrites adlı yeni sanayi koalisyonunu duyurdu. Amazon Web Services, Anthropic, Google, IBM, Microsoft, GitHub, Nvidia, OpenAI, Red Hat, Cisco ile Vodafone gibi çok sayıda kuruluşun katıldığı girişim, ortak bir Security Incident Response Team (SIRT) yapısı kurarak açık kaynak projelerinde güvenlik açıklarının daha düzenli yönetilmesini amaçlıyor.

Akrites modeli, geliştiricilere yüzlerce bağımsız güvenlik bildirimi yerine tek bir koordinasyon kanalı sunuyor. Aynı zamanda Coordinated Vulnerability Disclosure (CVD) süreciyle kritik açıkların kamuoyuna açıklanmadan önce doğrulanması, düzeltilmesi ile güvenli biçimde yayımlanması hedefleniyor.

Yapay zekâ modellerinin güvenlik araştırmalarındaki başarısı arttıkça açık kaynak ekosistemindeki bakım yükünün daha da büyümesi bekleniyor. Kurumsal şirketler için asıl risk artık güvenlik açığını bulamamak değil, aynı anda ortaya çıkan binlerce zafiyeti saldırganlardan önce önceliklendirerek kapatabilmek olarak görülüyor.