Birleşik Krallık Yapay Zeka Güvenlik Enstitüsü'nden gelen yeni bir rapor, en gelişmiş yapay zeka modellerinin artık bir insan uzmanın 20 saatini alacak çok aşamalı siber saldırıları otonom olarak gerçekleştirebildiğini ortaya koyarak, yapay zekanın saldırı ve savunma yetenekleri arasında açılan uçurum hakkında acil soruları gündeme getiriyor.
Yeni bir hükümet raporuna göre, OpenAI’ın yeni GPT-5.5 modeli, karmaşık ve çok aşamalı siber saldırıları otonom olarak gerçekleştirebiliyor ve güvenlik zorluklarını insan uzmanlardan çok daha hızlı bir şekilde çözebiliyor. Birleşik Krallık Yapay Zeka Güvenlik Enstitüsü'nden (AISI) elde edilen bulgular, GPT-5.5'in saldırı yeteneklerini Anthropic'in Claude Mythos modeli ile aynı seviyeye getiriyor; bu da yapay zekanın kötü niyetli kullanım potansiyelindeki hızlı ve geniş tabanlı ilerlemelerin izole bir gelişme değil, genel bir trend olduğunu gösteriyor.
Britanya Bilim, İnovasyon ve Teknoloji Bakanlığı bünyesindeki bir araştırma kuruluşu olan Yapay Zeka Güvenlik Enstitüsü raporunda, "Eğer saldırgan siber beceriler; muhakeme, kodlama ve otonom görev tamamlama alanındaki daha geniş iyileşmelerin bir yan ürünü olarak ortaya çıkıyorsa, daha fazla ilerleme hızla birbirini izleyebilir" uyarısında bulundu.
Rapor, GPT-5.5'in 10 denemeden ikisinde 32 adımlı simüle edilmiş bir kurumsal ağ saldırısını nasıl otonom olarak tamamladığını ayrıntılarıyla anlatıyor. SpecterOps tarafından tasarlanan ve "The Last Ones" (Sonuncular) olarak adlandırılan bu test, daha önce yalnızca Anthropic'in Claude Mythos Preview modeli tarafından (10 denemede 3 kez) tamamlanabilmişti. Daha da çarpıcı bir testte GPT-5.5, bir insan uzmanın 12 saatini alan bir tersine mühendislik bulmacasını, yalnızca 1,73 dolar API kullanım maliyetiyle sadece 10 dakika 22 saniyede çözdü. Uzman düzeyindeki daha geniş bir siber güvenlik görevleri setinde GPT-5.5, %71,4'lük bir başarı oranı elde ederek Mythos Preview'ın %68,6'lık oranının biraz önüne geçti ve GPT-5.4'ün %52,4'lük oranını çok geride bıraktı.
Saldırı yeteneğindeki bu sıçrama, iki taraflı bir piyasa şoku yaratıyor: Zayıf güvenlik duruşuna sahip şirketler için düşüş yönlü (bearish) bir görünüm yaratarak işletmeler için akut güvenlik açıklarını ortaya çıkarırken, siber güvenlik sektörü için güçlü bir yükseliş (bullish) katalizörü görevi görüyor. Bu gelişmenin, yapay zeka destekli savunma çözümlerine olan talepte bir artışı tetiklemesi ve yapay zeka geliştiricileri üzerindeki düzenleyici baskıyı yoğunlaştırması bekleniyor; raporla birlikte Birleşik Krallık hükümetinin siber dayanıklılık için 90 milyon sterlinlik yeni fon duyurması bu piyasa dinamiğinin altını çiziyor.
AISI bulguları, piyasanın halihazırda yapısal olarak dengesiz bir silahlanma yarışı ile mücadele ettiği bir dönemde geldi. Binance tarafından yapılan araştırma, yapay zeka araçlarının şu anda akıllı sözleşme açıklarını tespit etmekten ziyade bunları istismar etmede iki kat daha etkili olduğunu gösteriyor. Firmanın raporu, GPT-5.3-Codex'in EVMbench kıyaslamasında "istismar" (exploit) modunda %72,2 başarı oranına ulaştığını, "tespit" (detect) modunda ise bunun yaklaşık yarısı kadar başarı gösterdiğini belirtiyor.
Bu asimetri, saldırganlar için maliyetlerin çökmesiyle tetikleniyor. Binance Research'e göre, yapay zeka destekli istismarlar şu anda sözleşme başına ortalama 1,22 dolar civarında ve bu rakamın her iki ayda bir %22 daha düşmesi bekleniyor. Geliştiricilerin %80'inden fazlası artık iş akışlarında yapay zeka kullansa da, gelişmiş güvenlik testleri için bu araçları kullananların oranı %40'ın altında kalıyor; bu da otonom tehditlerin istismar etmesi için önemli bir boşluk bırakıyor. Trend sadece kodlarla sınırlı değil; TRM Labs analistleri, Kuzey Koreli hacker gruplarının geleneksel basit saldırı yöntemlerinden uzaklaşarak karmaşık sosyal mühendislik için yapay zeka kullandıklarını tahmin ediyor.
Bu yeteneklerin hızla ortaya çıkması, sorumlu açıklama ve pazarlama hakkında bir tartışma başlattı. OpenAI CEO'su Sam Altman, güvenlik çözümleri satmak için modellerinin tehlikelerini abartan rakiplerine atıfta bulunarak "korku temelli pazarlama" olarak adlandırdığı yaklaşımı eleştirdi. Altman yakın tarihli bir podcast röportajında, "'Bir bomba yaptık. Onu kafanıza atmak üzereyiz. Size 100 milyon dolara bir sığınak satacağız' demek açıkça inanılmaz bir pazarlamadır" dedi.
Artan tehdide yanıt olarak hem OpenAI hem de Anthropic, en güçlü modellerine erişimi kısıtlıyor. Anthropic, Mythos Preview'ın ilk sürümünü "kritik endüstri ortakları" ile sınırlarken; OpenAI, özel bir sürüm olan GPT-5.5-Cyber'ı onaylı bir "kritik siber savunmacılar" listesine sunuyor. Bu temkinli yaklaşım, araştırmacıların halka açık GPT-5.5 modelinde güvenlik korumalarını baypas eden bir "evrensel jailbreak" bulmaları ve bir red team'in bu saldırıyı geliştirmesinin altı saat sürmesinin ardından geldi. OpenAI o zamandan beri bir yama yayınlamış olsa da, olay kötüye kullanım riskinin devam ettiğini vurguluyor; bu durum, Birleşik Krallık işletmelerinin %43'ünün geçen yıl bir siber ihlal bildirmesi nedeniyle yatırımcılar için bir endişe kaynağı oluşturuyor.
Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.
