Dünya genelinde Anthropic'in "Mythos" adlı yapay zeka teknolojisi övgüler alırken ve Çin bu sistemin kendi versiyonunu üretmeye çalışırken, siber güvenlik cephesinden beklenmedik bir rapor geldi. Güvenlik kuruluşu Cobalt tarafından yayımlanan "Cobalt State of Pentesting Report 2026", siber güvenlik topluluğunun yapay zeka tabanlı otomatik sızma testlerine olan güveninin ciddi şekilde sarsıldığını gösteriyor.
2025 ve 2026 yıllarını kapsayan karşılaştırmalı anketlere göre, geçtiğimiz yıl uzmanların yüzde 29'u zafiyet testlerinde tamamen yapay zeka otomasyonuna güvenirken, bu oran günümüzde keskin bir düşüşle yüzde 9 seviyesine kadar geriledi. Cobalt, bu sert güvensizliğin arkasındaki temel neden olarak, sektör profesyonellerinin yüzde 78'inin tamamen otomatik tarama araçlarının kritik zafiyetleri gözden kaçırdığına bizzat şahit olmasını gösteriyor.
Yapay zeka odaklı sızma testlerinde elde edilen bulguların yaklaşık üçte biri "yüksek riskli" olarak sınıflandırılıyor. Bu oran, geleneksel yazılımlardaki zafiyet ortalamasının tam 2,7 katına denk geliyor. Üstelik Büyük Dil Modelleri (LLM) zafiyetlerinin yüzde 62'si hala açık durumda beklerken, sadece yüzde 38'inden daha azının düzeltilebildiği görülüyor. Yapay zeka ve LLM güvenlik sorunlarının ortalama çözülme süresi (MTTR) ise geçen yıla göre neredeyse ikiye katlanarak 19 günden 36 güne çıktı.
Cobalt Bilgi Güvenliği Üst Yöneticisi Andrew Obadiaru, LLM zafiyetlerinin derinlemesine bağlama dayalı olduğunu ve uygulamanın mimari yapısını anlamayan otomatik araçlar tarafından fark edilemediğini belirtti. Obadiaru, karmaşık iş mantığı risklerini ortaya çıkarmak ve bunları düzeltmek için insan uzmanlığının hala temel bir ihtiyaç olduğunu vurguluyor.
Güvenlikte yeni yön: Hibrit model
Tamamen otomatik yapay zeka testlerinin yarattığı hayal kırıklığı, siber güvenlik topluluğunun bir yıldan kısa bir sürede hibrit modellere yönelmesini sağladı. Günümüzde uzmanların yüzde 47'si hem insan zekasını hem de otomasyonu birleştiren bu hibrit modeli tercih ediyor. Otomasyonu sadece düşük riskli ortamlarda sınırlandıran kuruluşların oranı da yine yüzde 47 seviyesine ulaştı.
Sektörün Mythos sınıfı araçların potansiyeli konusunda heyecan duymasını haklı bulan uzmanlar, yönlendirilmemiş algoritmaların insan denetimi olmadan çok daha fazla hatalı pozitif (yanlış alarm) ve maliyetli hatalı negatif (zafiyeti gözden kaçırma) sonuç döndürmeye yatkın olduğu konusunda uyarıyor.