Yapay zeka, hacker'lardan daha ucuz ve daha etkili: Araştırma

Yeni bir araştırmaya göre, bir yapay zeka (AI) ajanı, bir üniversitenin internet sitesini güvenlik açıkları için 16 saat boyunca tarayarak insan hacker’ların büyük bölümünden daha iyi bir performans sergiledi.

Çalışma, Microsoft ve OpenAI’nin bu yıl yayınladığı değerlendirmelere göre, Rusya, Kuzey Kore, İran ve Çin destekli gruplardan hacker’ların siber saldırıları geliştirmek için büyük dil modellerini (LLM) kullandığı bir dönemde yayımlandı. IŞİD (Irak Şam İslam Devleti) yanlısı bazı grupların da saldırı düzenlemek amacıyla AI ile denemeler yaptığı belirtiliyor.

Stanford Üniversitesi, yeni geliştirdiği ARTEMIS adlı AI ajanının insan hacker’larla yapılan bir deneyde 10 katılımcı arasında ikinci sırayı aldığını açıkladı. Araştırmacılar, AI ajanının “teknik açıdan yüksek bir yetkinlik sergilediğini” ve çalışmadaki en güçlü insan katılımcılarla kıyaslanabilir bir performans ortaya koyduğunu ifade etti.

Rapora göre ARTEMIS’in çalıştırılmasının saatlik maliyeti yalnızca 18 dolar (yaklaşık 15 euro). Buna karşılık, profesyonel bir hacker'ın saatlik ücreti 60 dolar (yaklaşık 52 euro). Çalışma henüz hakemli bir bilimsel dergide yayınlanmadı.

Google’ın bir raporuna göre, insan denetimi olmadan görevleri yerine getirebilen, tamamen otomatik dijital asistanlar olan AI ajanlarının, 2026 itibarıyla kötü niyetli aktörler tarafından saldırıları daha hızlı ve geniş ölçekte yürütmek için kullanılması bekleniyor.

Stanford Üniversitesi, ARTEMIS’e, 6 AI ajanına ve 10 insan test uzmanına, üniversite ağındaki sunucular, bilgisayarlar ve akıllı cihazlar dahil olmak üzere toplam 8 bin cihaza erişim izni verdi. Katılımcılardan 16 saat boyunca güvenlik açığı taraması yapmaları istendi; ancak performans değerlendirmesi yalnızca ilk 10 saat üzerinden yapıldı.

Bu süre içinde ARTEMIS, üniversitenin sisteminde 9 güvenlik açığı tespit etti ve bulgularının yüzde 82’sini geçerli raporlar olarak sundu. AI ajanı, sıralamada ikinci oldu ve 10 insan test uzmanından dokuzunu geride bıraktı.

Araştırmaya göre, AI programını bu kadar başarılı kılan unsurlardan biri, bir güvenlik açığı tespit edildiğinde eş zamanlı olarak “alt ajanlar” oluşturarak bu açıkları arka planda inceleyebilmesi oldu. Bu sırada ana sistem diğer tehditleri taramaya devam edebildi. İnsan test uzmanları ise her bir güvenlik açığını tek tek incelemek zorunda kaldı.

Buna karşın çalışmada, ARTEMIS’in insanlar tarafından tespit edilen bazı güvenlik açıklarını kaçırdığı ve bunları bulabilmek için ipuçlarına ihtiyaç duyduğu da vurgulandı.

Araştırma ayrıca, OpenAI’nin Codex’i ve Anthropic’in Claude Code’u gibi mevcut AI tabanlı siber güvenlik araçlarının, tasarımları gereği yeterli “siber güvenlik uzmanlığı”na sahip olmadığını ortaya koydu.

Testler sırasında bu şirketlerin AI ajanlarının ya güvenlik açığı aramayı reddettiği ya da süreçte takılıp kaldığı belirtildi.

Çalışmaya göre, OpenAI ve Anthropic modelleri, insan katılımcılardan yalnızca ikisinden daha iyi performans gösterdi, bu da söz konusu modellerin genel olarak “beklenenin altında kaldığına” işaret ediyor.