Şirketlerin önemli bölümü, güvenlik riskleri nedeniyle yapay zekâ projelerini yavaşlattı ya da tamamen durdurdu. Aikido Security ile CybaVerse tarafından yayımlanan iki ayrı araştırma, son bir yılda kurumların yüzde 76’sının en az bir yapay zekâ projesini askıya aldığını, sınırlandırdığını veya geri çektiğini ortaya koydu. Siber güvenlik uzmanları ise daha gelişmiş yapay zekâ modellerinin devreye girmesiyle güvenlik ekiplerinin üzerindeki baskının daha da artacağını öngörüyor.

Yazılım Geliştirme Hızı Güvenlik Süreçlerini Geride Bıraktı

Aikido Security’nin araştırması, sorunun temelinde yapay zekânın yazılım geliştirme hızını belirgin şekilde artırmasının bulunduğunu gösterdi. Geliştirici ekipler haftalık hatta günlük üretim döngülerine geçerken güvenlik kontrolleri aynı tempoya ulaşamadı. Araştırmaya katılan şirketlerin yaklaşık dörtte üçü üretim ortamında haftalık veya daha kısa aralıklarla değişiklik yaparken yalnızca beşte biri aynı hızda güvenlik doğrulaması gerçekleştirebildi. Güvenlik ekipleri, test tamamlandıktan sonra yeni kodların sisteme eklenmesi nedeniyle elde edilen bulguların kısa sürede güncelliğini yitirdiğini ifade etti.

Araştırma sonuçları, yapay zekâ kullanımının güvenlik ekiplerinin iş yükünü artırdığını da ortaya koydu. Katılımcıların yaklaşık yüzde 70’i, yapay zekâ kullanılan projelerde güvenlik sorunlarının tespit edilmesi, incelenmesi veya giderilmesinin daha karmaşık hâle geldiğini belirtti. Gün içinde çok sayıda sürüm yayınlayan ekiplerde ise bu oran yüzde 86’ya yükseldi. Kurumlar, güvenlik açığı yönetimi süreçlerinin geliştirme hızının gerisinde kalmasının yeni riskler oluşturduğunu değerlendiriyor.

Güvenlik Uzmanları Daha Fazla Açığın Ortaya Çıkacağını Düşünüyor

CybaVerse tarafından gerçekleştirilen ikinci araştırma, güvenlik profesyonellerinin gelişmiş yapay zekâ modellerine ilişkin beklentilerini ortaya koydu. Katılımcıların yüzde 90’ı, Anthropic tarafından geliştirilen Claude Mythos gibi güvenlik odaklı modellerin şirketler açısından siber riski artıracağını düşünüyor. Uzmanların yüzde 86’sı ise bu tür sistemlerin saldırganların yazılımlardaki açıkları daha kısa sürede bulmasına yardımcı olacağını, bunun da daha sık güvenlik güncellemesi yayınlanmasına yol açacağını öngörüyor.

Araştırmaya katılan güvenlik ekiplerinin üçte ikisinden fazlası, artacak iş yükünü karşılayacak bütçeye sahip olmadığını bildirdi. CybaVerse CEO’su Oliver Spence, gelişmiş yapay zekâ platformlarının çok kısa sürede yaygınlaşmasının kurumlara hazırlık fırsatı bırakmadığını belirtti. Spence, son dönemde yayınlanan güvenlik bültenlerinde açıklanan açık sayısındaki artışın da bu eğilimi desteklediğini ifade etti.

Oliver Spence, yapay zekânın saldırıların hızını değiştirdiğini ancak temel güvenlik prensiplerini değiştirmediğini vurguladı. Kurumların sahip oldukları dijital varlıkları eksiksiz biçimde envanterde tutması, risk önceliğine göre zafiyet yönetimi yürütmesi, kritik sistemleri sürekli izlemesi ile güvenlik yamalarını zamanında uygulaması hâlâ en etkili savunma yöntemleri arasında gösteriliyor. Güvenlik ekipleri, yapay zekâ destekli geliştirme süreçleri yaygınlaşırken sürekli güvenlik doğrulaması yaklaşımının da daha fazla önem kazanacağını değerlendiriyor.

Türkiye’deki şirketler de benzer bir dönüşüm sürecinden geçiyor. Finans, üretim, telekomünikasyon ile e-ticaret sektörlerinde yapay zekâ destekli yazılım geliştirme hız kazanırken DevSecOps, uygulama güvenliği, güvenli yazılım geliştirme, zafiyet yönetimi ile siber dayanıklılık süreçlerinin birlikte planlanması kurumların risk seviyesini doğrudan etkiliyor. Yapay zekâ araçlarının yaygınlaşması, güvenlik yatırımlarını azaltmayı değil, yazılım yaşam döngüsünün her aşamasına güvenlik kontrollerini daha erken taşımayı zorunlu hâle getiriyor.