
Microsoft, yapay zekâ destekli güvenlik analizlerini yazılım geliştirme süreçlerine daha geniş ölçekte entegre etmesiyle birlikte Windows kullanıcılarının daha fazla güvenlik güncellemesi görmeye başlayacağını duyurdu. Şirket, yeni yaklaşımın daha fazla güvenlik sorunu oluştuğu anlamına gelmediğini, yapay zekânın güvenlik açıklarını çok daha erken tespit edebilmesinden kaynaklandığını belirtiyor. Microsoft, saldırganların da yapay zekâdan yararlanması nedeniyle savunma tarafında aynı hızla hareket edilmesi gerektiğini vurguluyor.
Yapay Zekâ Windows Kodlarını Sürekli Olarak Tarıyor
Microsoft, güvenlik açıklarını belirlemek için Microsoft Security bünyesinde geliştirilen Multi-Model Agentic Scanning Harness (MDASH) altyapısını aktif olarak kullanıyor. MDASH sistemi, Windows’un kritik bileşenlerini otomatik biçimde analiz ederek olası güvenlik açıklarını tespit ediyor. Yapay zekâ destekli güvenlik analizi, farklı yapay zekâ modellerinden gelen sonuçları karşılaştırarak yalnızca yüksek güven seviyesine sahip bulguları sonraki doğrulama aşamasına aktarıyor.
Şirket, ikinci doğrulama katmanında yalnızca Windows’a özel geliştirilen ek denetim mekanizmalarını devreye alıyor. Yanlış pozitif sonuçların büyük bölümü bu aşamada elenirken mühendislik ekiplerine yalnızca doğrulanma ihtimali yüksek güvenlik açıkları gönderiliyor. Güvenlik açığı tespiti, sıfır gün saldırılarında kullanılabilecek zafiyetlerin saldırganlardan önce belirlenmesini sağlayan en önemli savunma süreçlerinden biri olarak kabul ediliyor.
Microsoft, yapay zekânın yalnızca açık tespitinde değil hata analizinde de aktif rol üstlendiğini açıkladı. Yapay zekâ destekli hata analizi sayesinde sistem, yazılım hatalarının nedenlerini daha kısa sürede değerlendirebiliyor, olası çözüm önerileri oluşturabiliyor ve benzer kod yapılarında aynı tür güvenlik sorunlarını arayabiliyor. Bu yaklaşım, büyük ölçekli yazılım projelerinde güvenlik incelemelerini hızlandırmayı amaçlıyor.
Şirket, tüm bu süreçlere rağmen son kararın her zaman mühendisler tarafından verildiğini özellikle vurguluyor. İnsan denetimi, önerilen düzeltmelerin incelenmesi, kodun gözden geçirilmesi ve güvenlik yamalarının yayımlanması aşamalarında zorunlu olmaya devam ediyor.
Patch Tuesday Güncellemelerinde Daha Fazla Güvenlik Yaması Yer Alabilir
Microsoft, yapay zekâ sayesinde daha fazla güvenlik açığının keşfedilmesinin aylık Patch Tuesday paketlerine de doğrudan yansıyacağını belirtiyor. Patch Tuesday güvenlik güncellemeleri, bundan sonraki süreçte daha fazla güvenlik düzeltmesi içerebilir. Şirket, bunun güvenlik risklerinin arttığını değil savunma sistemlerinin daha başarılı çalıştığını gösterdiğini ifade ediyor.
Microsoft ayrıca Secure Development Lifecycle (SDL) süreçlerini de yapay zekâ destekli saldırıları dikkate alacak şekilde güncelliyor. Güvenli yazılım geliştirme modeli, yeni özellikler kullanıcılara ulaşmadan önce yapay zekâ ile daha kapsamlı güvenlik kontrollerinin yapılmasını hedefliyor.
Yapay zekâ yalnızca savunma tarafında kullanılmıyor. Siber suç grupları da güvenlik açıklarını daha hızlı analiz etmek ve sıfır gün saldırıları geliştirmek amacıyla benzer teknolojilerden yararlanıyor. Bu nedenle güvenlik araştırmaları giderek yapay zekâ destekli sistemlere kayıyor. Microsoft’un açıklaması, ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı’nın (CISA) kısa süre önce Anthropic’in Fable modeliyle kamu yazılımlarında güvenlik açığı taramalarına başladığının ortaya çıkmasının ardından geldi.
Kurumların önümüzdeki dönemde daha fazla güvenlik güncellemesiyle karşılaşması bekleniyor. Güvenlik uzmanları ise güncelleme sayısındaki artışın olumsuz bir gelişme olarak değerlendirilmemesi gerektiğini, yapay zekânın yazılım geliştirme sürecinde daha fazla güvenlik açığını üretim ortamına ulaşmadan ortaya çıkardığını belirtiyor.




