Üç yıl önce bir hacker'ın bir şirketin sistemine girmesi için ortalama beş ay gerekiyordu. Önce zafiyet bulması gerekiyordu — bilgisayar sisteminde bir hata. Sonra o hatayı kullanılabilir bir saldırıya dönüştürmesi. Bu süreç haftalar sürüyordu, bazen aylar.
Bugün aynı süreç on saat sürüyor.
27 Nisan 2026'da Singapur'da Black Hat Asia konferansının kürsüsünde Ari Herbert-Voss bu rakamı söylediğinde salondaki güvenlik uzmanları sessizce dinledi. Voss eski OpenAI red team lideriydi — yani saldırı simüle eden ekibin başı. Şimdi RunSybil isimli yapay zeka tabanlı güvenlik şirketinin CEO'su.
"Beş aydan on saate düştü," dedi Voss. "Sınır yapay zeka modelleri saldırı işinin büyük kısmını yapıyor."
Ve dün, 1 Mayıs 2026'da, Microsoft Başkan Yardımcısı Brad Smith ve Sorumlu AI Şef Yetkilisi Natasha Crampton resmi açıklama yaptı: "Siber güvenlik bir dönüm noktasında. İleri AI modelleri zafiyet keşfini büyük ölçüde hızlandırıyor ve sömürü için zemin hazırlıyor."
Neden Bu Kadar Hızlandı?
İki isim öne çıkıyor: Anthropic'in Mythos modeli ve OpenAI'ın GPT-5.5'i.
Mythos Nisan başında çıktı. OpenBSD işletim sisteminde 27 yıldır kimsenin keşfetmediği bir güvenlik açığı buldu. FreeBSD'de 17 yıllık bir uzaktan kod yürütme açığı tespit etti. Anthropic modeli güvenlik nedeniyle sadece 50 organizasyona açtı — Beyaz Saray daha geniş erişimi reddediyor.
OpenAI 23 Nisan'da GPT-5.5'i yayınladı. 30 Nisan'da GPT-5.5-Cyber duyuruldu — siber güvenlik alanına özel sürüm. Sam Altman X'te paylaştı: "Önümüzdeki birkaç gün içinde kritik siber savunucularla paylaşmaya başlıyoruz."
Bu modellerin yaptığı şey şaşırtıcı. Bir kod tabanını analiz ediyorlar. Zayıf noktaları işaretliyorlar. Sonra o zayıf noktayı saldırıya dönüştüren kodu yazıyorlar. İnsan müdahalesi gerekmiyor. Saatlerce sürüyor, ama otomatik.
IBM'in 2026 X-Force Tehdit İstihbaratı Raporu rakamları net ortaya koyuyor: Genel uygulama saldırıları yıllık yüzde 44 arttı. Tedarik zinciri saldırıları 2020'den beri yaklaşık 4 katına çıktı. AI destekli saldırılar yıllık yüzde 89 büyüdü. Otonom AI ajanları — yani kendi başına çalışan saldırı yapay zekaları — AI ihlallerinin 8'de 1'ini gerçekleştiriyor.
Voss şunu da ekledi: "Bu nükleer seviye varoluşsal tehdit değil. 2000'lerin başında 'fuzzer'ların gelişine benziyor." Fuzzer, otomatik olarak yazılım hatalarını arayan eski bir araç. Geldiğinde sektör titremişti, sonra adapte olduk.
Anthropic'in 1 trilyon doları aşan değerlemesini detaylı anlattık: Anthropic 1 Trilyon Doları Aştı: Yeni AI Devi
Cloudflare Tarihi Öne Çekti, Mexico Hükümeti Hacklendi
Aynı haftaki birkaç gelişme bu trendin ne kadar ciddi olduğunu gösterdi.
Cloudflare, internetin yüzde 20'sini koruyan şirket, "post-quantum encryption" — yani kuantum sonrası şifreleme — geçiş tarihini öne çekti. Yeni hedef: 2029. Eskiden 2032 idi. Sebep: Google ve Oratomic'in yayınladığı yeni araştırma. Bas Westerbaan (Cloudflare güvenlik araştırmacısı) Time dergisine konuştu: "Gerçek bir şok. Çabamızı önemli ölçüde hızlandırmamız gerekecek."
Mexico hükümeti vakası daha çarpıcı. Şubat-Mart 2026 arası gerçekleşen saldırıda hackerlar Anthropic'in Claude'unu ve OpenAI'ın ChatGPT'sini kullanarak Mexico hükümet sistemlerine sızdı. 150 GB veri çaldılar — vergi mükellefi bilgileri, seçmen kayıtları, sivil tescil dosyaları, hükümet çalışanı şifreleri. Gambit Security firması raporladı, SecurityWeek doğruladı.
"CyberStrikeAI" denilen başka bir kampanya 55 ülkede 600'den fazla FortiGate firewall'ını otomatik olarak hackledi. Tek bir insan operatör yoktu. Saldırıyı tamamen AI ajanları yürüttü.
30 Nisan'da iki büyük tedarik zinciri saldırısı keşfedildi. PyTorch Lightning'in (31.100 GitHub yıldızlı popüler AI çerçevesi) iki kötü amaçlı sürümü PyPI'ya yüklendi. Aynı gün DEEP#DOOR adlı Python tabanlı arka kapı framework'ü tespit edildi — Windows kalıcılığı ile gizli erişim sağlıyor.
İlginç ironi: Geleneksel güvenlik 20 yıldır "tehdit klavyenin başındaki insan" varsayımına dayanıyordu. Şimdi tehdit yapay zeka. Hem saldıran tarafta, hem savunan tarafta.
Türk Şirketleri Ne Yapmalı?
Türkiye'de büyük şirketler 2025 yılında yapay zeka pilot projelerine başladı. Bankacılık, e-ticaret, telekom — herkes Claude, ChatGPT veya yerel modelleri sistemlerine entegre ediyor. Aynı şirketler şimdi yeni bir gerçeklikle yüzleşmek zorunda.
Birincisi: Klasik "yıllık güvenlik denetimi" mantığı bitti. Voss'un sözleriyle: "Saldırı sürekli, otomatik, ölçekte gerçekleşiyor. Tek seferlik test bunu yakalayamaz." Şirketler "agentic firewall" ve "sanitiser model" gibi yeni güvenlik katmanları eklemek zorunda. Anthropic geçen hafta "Claude Security" ürününü duyurdu — Mythos'un savunma versiyonu. Türkiye'de henüz bu pazarda ürün yok ama yakında olacak.
İkincisi: Yapay zeka pilotunu hızla ölçeklendirmek isteyen şirketler dikkatli olmalı. Her yeni yapay zeka entegrasyonu yeni saldırı yüzeyi yaratıyor. Müşteri hizmetleri botu, finansal otomasyon, çağrı merkezi — hepsi potansiyel zafiyet noktası. NIST'in 7 Nisan 2026'da yayınladığı "AI RMF Profile on Trustworthy AI in Critical Infrastructure" Türk şirketleri için referans olmalı.
Üçüncüsü: Üçüncü taraf risk yönetimi kritik. Yapay zeka tedarikçiniz hangi modeli kullanıyor? Mythos veya GPT-5.5 erişimleri var mı? Veri nereye akıyor? Bu sorular eskiden lüks görünürdü, şimdi temel.
Dördüncüsü: AI tabanlı tedarik zinciri saldırıları artıyor. PyTorch Lightning, LangChain, LiteLLM gibi yaygın kütüphaneler hedef alınıyor. SCA (Software Composition Analysis) taraması en az 72 saatte bir yapılmalı. Mercor AI startup'ı LiteLLM'deki bir zafiyet üzerinden hack edildi — kendi koduna saldırı değil, kullandığı kütüphaneye.
Apple-Google AI ittifakını anlattık: Apple Yenildi: Siri Artık Google'ın Beyniyle Çalışıyor
Yapay zekanın diğer büyük gelişmelerini takip etmek için: Finans Gundem Yapay Zeka
Sonuç: Yeni Bir Çağ
2023'ten 2026'ya beş ay on saate düştü. Bu yüzde 99 azalış. Tarihteki en hızlı saldırı performansı artışlarından biri. Ve trend daha hızlanıyor.
İyi tarafı şu: Aynı yapay zeka modelleri savunma için de kullanılabilir. GPT-5.5-Cyber tam olarak bunun için var. Anthropic Claude Security ürünü Mart-Nisan'da yayınlandı. Microsoft 1 Mayıs'ta yayınladığı raporla "savunucu-saldırgan dengesinin korunması" çağrısı yaptı.
Ama bu yarış asimetrik. Saldırgan bir kez başarırsa kazanır. Savunmacı her seferinde başarmak zorunda. Yapay zeka bu asimetriyi savunmacının dezavantajına işletiyor.
Önümüzdeki on iki ay, Voss'un öngörüsüyle, "agent firewall" ve "sanitiser model" girişimlerinin parlayacağı dönem. Aynı zamanda büyük bir saldırı haberi de gelecek — bir Türk şirketinin adının geçmesi sürpriz olmayacak. Mexico hükümeti gibi 150 GB veri çalınması yarın bir Türk bankasının başına gelebilir. Hazırlıklı olmak şirketlerin, hükümetlerin ve sıradan kullanıcıların ortak görevi.
⚠️ Yasal Uyarı: Bu içerik yalnızca bilgilendirme amaçlıdır.
