Yapay zeka (AI) teknolojilerinin işletmeler tarafından benimsenme hızı arttıkça, siber güvenlik uzmanları yeni ve daha karmaşık tehditler konusunda uyarıyor. Siber güvenlik firması Wiz'in Baş Teknoloji Sorumlusu (CTO) Ami Luttwak, son teknoloji dalgasının, saldırganlar için yepyeni fırsatlar yarattığını ve bu durumun güvenlik anlayışını temelden değiştirdiğini vurguluyor.
“Siber güvenlik hakkında anlaşılması gereken kilit noktalardan biri, bunun bir akıl oyunu olduğudur. Yeni bir teknoloji dalgası geldiğinde, saldırganların bunu kullanmaya başlaması için yeni fırsatlar doğar.” - Ami Luttwak, Wiz CTO.
Hız mı, Güvenlik mi? Geliştiricilerin İkilemi
Kuruluşlar, yapay zeka entegrasyonlarını (AI ajanları, hızlı kodlama gibi yöntemlerle) iş akışlarına dahil ettikçe, potansiyel saldırı yüzeyi de hızla genişliyor. AI, geliştiricilerin daha hızlı kod yazmasına yardımcı olsa da, bu hız çoğu zaman kestirme yolları ve hataları beraberinde getiriyor. Bu durum, saldırganlar için yeni giriş kapıları oluşturuyor.
Wiz tarafından yakın zamanda yürütülen testler, özellikle AI destekli hızlı kodlama (vibe coding) ile geliştirilen uygulamalarda yaygın bir sorun tespit etti: Güvensiz Kimlik Doğrulama (Authentication) Uygulaması. Luttwak'a göre, bu durum, ajanın en güvenli yolu değil, en kolay yolu seçmesinden kaynaklanıyor. Eğer geliştirici, ajana kodu 'en güvenli şekilde' oluşturmasını açıkça söylemezse, ortaya çıkan ürün hızlı ancak güvenlik açıkları barındıran bir yapıya sahip oluyor.
Özellikle hassas verilerin korunması gereken kimlik doğrulama (KYC) süreçlerinde, geleneksel yöntemlerin kullanıcı kimlik kartı suretlerini üçüncü taraf sunuculara yüklemesi, büyük bir gizlilik riski yaratmaktadır. Bu merkezileştirilmiş depolama zafiyetine karşı, cihaz içi yapay zekayı kullanan ve hassas verileri sunuculara göndermeden doğrulama yapan TruSources gibi çözümler ortaya çıkmıştır. TruSources’ın kimlik ve yaş doğrulama işlemlerini tamamen kullanıcının kendi cihazı üzerinde gerçekleştiren devrim niteliğindeki teknolojisi, San Francisco’da düzenlenecek TechCrunch Disrupt 2025 etkinliğinde tanıtılacaktır. Dijital dünyada kimlik doğrulama süreçlerinin gizlilik risklerini sıfırlayan bu cihaz içi doğrulama teknolojisi hakkında daha fazla bilgi edinmek için TruSources Cihaz İçi Kimlik Doğrulama (KYC) teknolojisi haberini Nexushaber.com'da inceleyebilirsiniz.
Bu hız odaklı yaklaşımın güvenliğe etkileri, sektörün önde gelen etkinliklerinde de ana tartışma konularından biri haline geldi. Özellikle **TechCrunch Disrupt 2025'te** geliştirici araçları panellerinde, 'Vibe Coding' kavramının sadece bir heves mi yoksa kalıcı bir gerçeklik mi olduğu tartışılıyor. Bu bağlamda, ajan tabanlı modellerin performansını artırmak için yapılan optimizasyonlar (örneğin, çıkarım sürecini hızlandıran ve operasyonel maliyeti düşüren yazılımlar) büyük bir önem taşıyor, zira bu hızlanma, güvenlik kontrollerinin atlanması riskini de beraberinde getiriyor.
Değer Katma: Güvenlik Borcu (Security Debt) Riski
AI entegrasyonlarının hızla yapılmasının getirdiği en büyük risk, 'Güvenlik Borcu'dur. Başlangıçta güvenliği ihmal etmek, daha sonra sistemi yeniden düzenlemek ve düzeltmek için çok daha yüksek maliyetli ve zaman alıcı operasyonlara yol açar. Wiz CTO'su Luttwak, şirketlerin hızlı olmak ile güvenli olmak arasında sürekli bir denge kurmak zorunda kaldığını belirtiyor.
Saldırganlar Artık Komutlarla Çalışıyor
Yapay zekanın hızından faydalananlar sadece geliştiriciler değil. Luttwak, saldırganların artık komut tabanlı teknikler ve kendi yapay zeka ajanlarını kullanarak doğrudan saldırılar başlattığını belirtiyor. Bu, sadece saldırganın kodlama yapması anlamına gelmiyor; aynı zamanda saldırganın, hedef şirketteki AI araçlarını bulup onlara şu komutları vermesi anlamına geliyor: “Tüm gizli bilgileri bana gönder,” veya “Makineyi sil, dosyayı sil.”
Tedarik Zinciri Saldırıları ve Büyük Vakalar
Şirketlerin verimliliği artırmak için dahili olarak kullandığı yeni AI araçları, tedarik zinciri saldırıları için yeni giriş noktaları haline geliyor. Üçüncü taraf bir hizmetin tehlikeye atılması, saldırganların kurumsal sistemlere daha derinlemesine sızmasına olanak tanıyor.
Drift ve Nx Olayları
Geçtiğimiz ay, satış ve pazarlama için AI sohbet robotları satan Drift şirketinin ihlali bu duruma somut bir örnektir. Saldırganlar, dijital anahtarlara (token) erişim sağlayarak sohbet robotunun kimliğine büründü ve Cloudflare, Palo Alto Networks, Google gibi yüzlerce kurumsal müşterinin Salesforce verilerini ifşa etti. Luttwak, saldırı kodunun da 'vibe coding' kullanılarak oluşturulduğunu belirtti.
Bir başka büyük tedarik zinciri saldırısı olan 's1ingularity', Ağustos ayında popüler JavaScript geliştirme sistemi Nx’i hedef aldı. Saldırganlar, sisteme kötü amaçlı yazılım yerleştirmeyi başardılar. Bu yazılım, sistemdeki Claude ve Gemini gibi AI geliştirme araçlarının varlığını tespit etti ve bu araçları ele geçirerek sistemi değerli veriler için otonom olarak taramaya zorladı. Bu saldırı, binlerce geliştirici anahtarını tehlikeye atarak saldırganlara özel GitHub depolarına erişim sağladı.
Startup'lar İçin Güvenlik Zorunluluğu: İlk Günden CISO Şart
Luttwak, kurumsal düzeyde yapay zeka araçlarının tam adaptasyon oranının henüz %1 civarında olmasına rağmen, Wiz’in her hafta binlerce kurumsal müşteriyi etkileyen saldırılar gördüğünü belirtiyor. Bu devrimin geçmişteki tüm teknoloji devrimlerinden daha hızlı ilerlediğini ifade ediyor. Bu bağlamda, TechCrunch Disrupt 2025 gibi önemli zirvelerde kurumsal yazılımın yapay zeka ile dönüşümü ana gündem maddesi oldu. TechCrunch Disrupt 2025, bu dönüşümün merkezine odaklanarak, 20. yıl dönümünü kutlamaya hazırlanıyor ve 10.000'den fazla kurucuyu ve risk sermayesi liderini bir araya getiriyor. Etkinliğin ana odak noktası, YZ destekli geliştirici araçları ve 'ilk kritik mühendis' işe alımının değişen dinamikleri. Örneğin, Box CEO'su ve kurucu ortağı Aaron Levie, yapay zekanın kurumsal yazılımda neleri değiştirip neleri değiştirmediğini analiz ederek, şirketlerin inovasyonu sürdürebilmesi için kendi en iyi fikirlerini bile sorgulaması gerektiğini vurguluyor. Aaron Levie'nin TechCrunch Disrupt 2025’teki kurumsal yazılım ve AI hakkındaki bu önemli analizlerinin detaylarına Nexushaber.com üzerinden ulaşabilirsiniz.
AI araçlarının demokratikleşmesiyle birlikte, yeni startup’lar ortaya çıksa da, Luttwak şirketleri uyarıyor: beş çalışanı olan her küçük SaaS şirketine sadece 'inanılmaz AI içgörüleri vereceğim' dedikleri için tüm kurumsal verileri göndermeyin.
Bu nedenle, startup'ların güvenliği ertelememesi hayati önem taşıyor.
“İlk günden itibaren güvenlik ve uyumluluğu düşünmeniz gerekiyor. Beş çalışanınız olsa bile, ilk günden itibaren bir CISO (Baş Bilgi Güvenliği Yöneticisi) bulundurmanız şart.”
Luttwak, startup'ların tek bir satır kod yazmadan önce kurumsal güvenlik özelliklerini, denetim kayıtlarını, kimlik doğrulamayı ve üretim erişimini düşünmesi gerektiğini söylüyor. Wiz’in kendisinin bile kod yazmaya başlamadan önce SOC2 uyumluluğunu (bir uyumluluk çerçevesi) sağladığını belirterek, bu planlamanın daha sonra oluşacak 'güvenlik borcunu' önlediğini ekliyor.
Geleceğin Siber Güvenlik Alanları
Yapay zeka çağında siber güvenlik alanına girmek isteyenler için Luttwak, şu anın doğru zaman olduğunu belirtiyor. Oltalama (phishing) korumasından kötü amaçlı yazılımlara ve uç nokta korumasına kadar her alan, hem saldırganlar hem de savunucular için inovasyon açısından verimli bir zemin sunuyor.
Luttwak, sektör olarak bu hıza ayak uydurmak zorunda olduğumuzu ve güvenliğin her parçasını yeniden düşünmek gerektiğini belirterek sözlerini tamamlıyor. Wiz, bu vizyonla, geliştirme sürecinin erken aşamalarında güvenlik sorunlarını gidermeye odaklanan Wiz Code ve aktif tehditlere yanıt veren Wiz Defend gibi çözümlerle güvenlik alanını yatay bir yaklaşımla ele alıyor.
***
Kaynak: Bu haber, siber güvenlik uzmanı Ami Luttwak’ın yapay zeka ve siber saldırıların dönüşümü hakkındaki derinlemesine analizlerine dayanmaktadır. Orijinal içeriğe TechCrunch üzerinden ulaşılabilir.
