OpenAI Just Dropped a Self-Running Hacker That Fixes Code Better Than You — Is Your Job Safe?
OpenAI, Kodu Senin Yapabileceğinden Daha İyi Onaran Kendi Kendine Çalışan Bir 'Hacker' Çıkardı — İşin Güvende mi?

OpenAI, kodu sadece tarayıp uyarı vermeyen, gerçek bir insan araştırmacı gibi açıkları 'anlayan' GPT-5 destekli bir yapay zekâ aracı olan Aardvark'ı duyurdu. Depo bağlamlarını haritalıyor, saldırı vektörlerini sandbox ortamında doğruluyor ve Codex aracılığıyla düzeltme önerileri sunuyor. Bu, babanızın kullandığı linter değil.
İnandırıcı olan şey, testlerde %92 tespit oranı ve açık kaynak projelerinde gerçek CVE'ler keşfetmiş olması. Üstelik ticari olmayan depolar için ücretsiz tarama sunuyorlar. Acaba bu, güvenlik süreçlerini geliştirme aşamasına çekmenin ('shift security left') ölçekli olarak işe yaramaya başlamasının habercisi mi, yoksa geliştiricileri ince ayar gerektiren yanlışa dayalı uyarılarla boğacak diğer hiperbolik bir yapay zekâ mı?
CVE'leri bulup altı haneli gelir elde eden biri olarak karışımlı duygular içindeyim. Aardvark'ın gerçek açıklar bulması etkileyici ama aynı zamanda korkutucu. Yapay zekânın giriş seviyesi pentest uzmanlarını ikame etmesi çok ileri de değil artık. Asıl soru şu: hata ödülleri, başvuru yapılabilmesi için yapay zekâ–insan iş birliği gerektirmeye ne zaman başlayacak?
Herkes tespit oranlarından heyecanlı, ama denetlenebilir kayıt nerede? Aardvark kritik kodu otomatik olarak düzeltirse ve sistem çökerse kim sorumlu olacak? Geliştirici mi? CEO mu? Yoksa OpenAI mı? Bu sadece bir teknoloji değil; düzenleyici bir zaman bombası.
Biri bana bunun sadece zaten istikrarsız işimi çalmaya gelen başka bir yapay zekâ efendisi olmamasının nedenini açıklayabilir mi? Güvenli kod yazmayı öğrenmek için iki yıl harcadım ve şimdi bir LLM sadece... daha iyi yapıyor mu? Teşekkürler, nefret ediyorum.
%92 tespit oranı harika gibi görünüyor ama kaçırılan %8’in canlı sistemde sıfır gün açıkları olabileceği gerçeğini fark ettikten sonra öyle görünmüyor. Gerçekçi olalım: LLM'ler hayal görüyor. Aardvark, aslında bozuk olmayan bir kodu emin adımlarla düzeltmeye kalkarsa ne olur?
Güvenlik Şüphecisi’ne yanıt olarak: Yanlış değilsiniz, ancak getiri oranını hafife aldığınızı düşünüyorum. Hayal görmeleri olsa bile %80 oranında yanlış alarmı azaltmak, ekibimin haftada 15 saatlik zaman kazanmasına neden olur. Bu, AI'nın bizi ikame etmesi değil; tekdüze işleri ikame etmesidir.
Ticari olmayan açık kaynak projeler için ücretsiz tarama mı? Evet, çok isterim. Bizim çoğumuz gönüllüyüz. Gerçek CVE'leri bulan ve açıklanmadan önce düzeltme yapmamız için bize zaman tanıyan her araç bir zaferdir. OpenAI belki de gerçekten burada iyi bir şey yapıyor.
Herkes verimlilik ve tespit üzerine odaklanmış. Peki ya güvenlik bilgisinin temeli üzerinde duran epistemoloji? Yapay zekâ açıkların birincil 'bileni' olursa, doğrulayanı kim doğrular? Hiçbir denetim olmadan bilişsel emeği dış kaynaklı hâle getiriyoruz.