Yapay zeka alanında son dönemde yaşanan güvenlik ve erişim tartışmaları, devletlerin bu teknolojilere bakışını değiştirmeye başladı. ABD hükümetinin Claude Mythos 5’e yönelik erişim kısıtlamaları, yapay zekanın artık milli güvenlik perspektifiyle değerlendirildiğinin en güncel örneklerinden biri olarak gösteriliyor. Bu süreçte Doğanay Siber Emniyet Teknolojileri tarafından geliştirilen KA’OS (Kognitif Artırımlı Ofansif Sistem), yapay zeka destekli siber güvenlik operasyonlarında kullanılmak üzere geliştirilen yeni nesil bir platform olarak öne çıkıyor. Zafiyet keşfi, güvenlik araştırmaları, kontrollü PoC üretimi ve otonom siber güvenlik operasyonları gibi alanlarda Mythos sınıfı sistemlerle benzer kanıtlanmış teknik yeteneklere sahip olan KA’OS, kurumların siber ortamda gerçekten dayanıklı olup olmadıkları ilgili olarak denetlenebilir ve kontrollü bir alternatif olarak öne çıkıyor.
Doğanay Siber Emniyet Teknolojileri CEO’su Hamza Aytaç Doğanay, yapay zeka destekli siber güvenlik alanında yeni bir dönemin başladığını belirterek şu değerlendirmede bulundu:
“Yapay zeka artık yalnızca analiz yapan bir yardımcı değil, kurumların siber dayanıklılığını artıran aktif bir güvenlik bileşeni haline geldi. Saldıran yapay zeka olunca, savunanın da yapay zeka olması kaçınılmazdı. Siber savaş ortamında AI vs. AI dönemi tam bir kaos şeklinde başladı. Biz de bu dönüşümü yerli ve öz kaynaklarımızla geliştirdiğimiz teknolojilerle desteklemek amacıyla KA’OS’u geliştirdik.”
Güvenlik gerekçesiyle sınırlı sayıda kuruma hizmet verilecek
Doğanay, KA’OS’un bir büyük dil modeli geliştirme projesi olmadığını belirterek şöyle dedi:
“KA’OS; farklı yapay zeka modellerini, ileri seviye güvenlik araçlarını, siber güvenlik uzmanlarının tecrübelerini ve kurumsal bilgi kaynaklarını belirli görevler için bir araya getiren bir ajan ve orkestrasyon platformudur. Değer önerimiz yeni bir model geliştirmek değil, yapay zekayı kurumların çoğu zaman farkında olmadığı siber güvenlik risklerini ortaya çıkarmak ve bunları güvenli, denetlenebilir şekilde yönetmek için kullanmaktır.”
KA’OS’un yalnızca bilinen zafiyetleri raporlayan bir sistem olmadığını vurgulayan Doğanay şu ifadeleri kullandı:
“Yetkilendirilmiş sistemlerde çalışmak kaydıyla, henüz keşfedilmemiş ‘zero-day’ zafiyetlerini tespit edebiliyor, kontrollü PoC üretebiliyor ve farklı güvenlik araçlarını orkestre ederek kurumların saldırı yüzeyini analiz edebiliyor. Bu analizler web sistemleriyle sınırlı kalmıyor; mobil uygulamalardan yazılımlara, kripto varlıklardan çevrimiçi platformlara ve donanımlara kadar geniş bir dijital ekosistemi kapsıyor.”
Mythos örneğinde görüldüğü gibi belirli yetenek seviyesine ulaşan teknolojilerin her zaman sınırsız erişime açılmadığını belirten Doğanay şunları söyledi:
“KA’OS’un sahip olduğu kabiliyetler nedeniyle kontrollü erişim yaklaşımını benimsiyoruz. İlk aşamada kritik altyapılar, savunma sanayii projeleri ve yüksek güvenlik gerektiren kurumlarla çalışıyoruz. Bu yaklaşımı ticari değil, stratejik bir güvenlik gerekliliği olarak görüyoruz. Kurumlarımızın yapay zeka tarafından istismar edilebilecek açıklarını öğrenme ve bunlara karşı hazırlıklı olma zamanı geldi.”
1 milyon 700 Binden fazla güvenlik dokümanı ile eğitildi
Tamamı Türkiye’de geliştirilen KA’OS’un eğitim korpusunun sadece bir kısmının 1 milyon 700 binden fazla güvenlik dokümanından ve 17.000’den fazla GitHub deposu elemanından oluştuğunu ifade eden Doğanay, sistemin yalnızca mevcut bilgileri kullanmakla kalmadığını, operasyon esnasında öğrenebilen ve kendi kodlarını geliştirebilen bir mimariye sahip olduğunu kaydetti.
KA’OS’un web, mobil, bulut, ağ, kaynak kodu, yapay zeka sistemleri ve Web3 altyapıları üzerinde güvenlik testleri gerçekleştirebildiğini aktaran Doğanay şöyle dedi:
“Siber tehditlerin her geçen gün daha karmaşık ve yapay zeka destekli hale geldiği bir dönemde, kurumların insan kaynağıyla yetişemeyeceği belli olan alanlarda yapay zeka destekli otonom sistemler kritik önem taşıyor.”
Birinci amacımız; dijital vatanın siber dayanıklılığını artırmak
Doğanay, platformun temel hedefinin saldırı gerçekleştirmek değil, kurumların siber dayanıklılığını artırmak olduğunu vurgulayarak şöyle devam etti:
“KA’OS’u geliştirirken amacımız, kurumların farkında olmadıkları ve belki de sadece yapay zekalar tarafından tespit edilebilecek zafiyetlerini kötü niyetli aktörlerden önce tespit edebilmelerini sağlamak oldu. Yapay zeka destekli bu yapı sayesinde güvenlik ekipleri daha hızlı hareket edebiliyor, riskleri önceliklendirebiliyor ve düzeltme süreçlerini hızlandırabiliyor.”
Kritik altyapılarda yerli siber güvenlik çözümleri tercih edilmeli
Öz kaynaklarla geliştirilen KA’OS, yapay zeka destekli otonom ve ofansif siber emniyet orkestrasyonunu “KA’OS as a Service” modeliyle kurumların kullanımına sunuyor. Sistem, OWASP Juice Shop ortamında gerçekleştirilen testlerde yüzde 100 otonom başarı oranına ulaştı. Bunun yanında, otonom siber güvenlik ajanlarının gerçek web zafiyetlerini tespit etme ve istismar etme kabiliyetlerini ölçmek amacıyla kullanılan XBOW Validation Benchmark setinde yer alan 104 senaryonun tamamını başarıyla tamamlayarak 104/104 tam başarı elde etti.
Doğanay, bu sonuçların KA’OS’un yalnızca klasik zafiyet tarama yaklaşımının ötesine geçtiğini gösterdiğini belirterek şöyle dedi:
“Yapay zeka destekli siber güvenlik sistemleri artık yalnızca açıkları listeleyen araçlar değil, güvenlik uzmanları gibi düşünebilen ve hareket edebilen operasyonel yapılara dönüşüyor. KA’OS da bu yeni nesil yaklaşımın bir örneğini temsil ediyor.”
Doğanay, KA’OS’un teknik yeteneklerinin yanında önemli operasyonel avantajlar da sunduğunu belirterek şu ifadeleri kullandı:
“Bugün birçok yapay zeka sistemi token bazlı ücretlendirme modeliyle çalışıyor. KA’OS’un en önemli avantajlarından biri token bağımlılığı olmadan çalışabilmesi. Bu durum özellikle yoğun kullanım senaryolarında kurumlara ciddi maliyet avantajı sağlıyor. Ayrıca birçok operasyonu internet bağlantısına ihtiyaç duymadan gerçekleştirebilmesi, veri güvenliği ve operasyonel süreklilik açısından önemli bir avantaj oluşturuyor.”
Yapay zekaya sınırsız yetki vermeyin
Yapay zeka teknolojilerinin sunduğu imkanların yanında yeni nesil riskleri de beraberinde getirdiğine dikkat çeken Doğanay, kurumların bu sistemleri kullanırken güvenlik ve denetim mekanizmalarını ihmal etmemesi gerektiğini vurguladı.
Doğanay kurumlara şu kritik önerilerde bulundu:
“Kontrolsüz güç, güç değildir. Artık devletler yapay zekayı yalnızca bir teknoloji yatırımı olarak değil, aynı zamanda bir milli güvenlik meselesi olarak görüyor. Bu nedenle kurumların yapay zeka sistemlerine sınırsız yetki vermemesi gerekiyor. Kritik karar mekanizmalarında insan denetimi mutlaka korunmalı, hassas verilerin hangi sistemlerde işlendiği bilinmeli ve yapay zeka modelleri düzenli olarak güvenlik testlerinden geçirilmelidir.
Kurumlara önerimiz; yapay zeka çözümlerini kullanırken veri güvenliğini önceliklendirmeleri, kritik süreçlerde insan onay mekanizmalarını devre dışı bırakmamaları, hassas bilgileri kontrolsüz platformlarla paylaşmamaları ve ihtiyaçlarına uygun, denetlenebilir yerel çözümleri tercih etmeleridir. Önümüzdeki dönemde en önemli soru hangi yapay zekanın kullanıldığı değil, kullanılan yapay zekanın ne kadar kontrol edilebildiği, denetlenebildiği ve mevcut sistemlerle ne kadar uyumlu çalıştığı olacaktır.”
Kaynak : 