Yapay zeka kabiliyetleri geliştikçe siber dayanıklılığı güçlendiriyoruz
Modellerimiz siber güvenlik alanında daha yetkin hale geldikçe, bu sistemleri daha da güçlendirmeye, ek koruma katmanları oluşturmaya ve küresel güvenlik uzmanlarıyla iş birliği yapmaya yatırım yapıyoruz.
Yapay zeka modellerinin siber güvenlik alanındaki yetenekleri hızla gelişiyor. Bu gelişme, siber savunma açısından önemli faydalar sunarken, dikkatle yönetilmesi gereken hem yararlı hem zararlı kullanıma açık olmasından kaynaklanan yeni riskleri de beraberinde getiriyor. Örneğin, capture-the-flag (CTF) yarışmalarıyla ölçülen yetenekler, Ağustos 2025'te GPT‑5(yeni bir pencerede açılır) için %27 düzeyindeyken Kasım 2025'te GPT‑5.1‑Codex‑Max(yeni bir pencerede açılır) için %76'ya yükseldi.
Önümüzdeki yapay zeka modellerinin bu doğrultuda ilerlemeyi sürdüreceğini öngörüyoruz. Bu nedenle hazırlık çalışmalarımız kapsamında, her yeni modelin Risklere Hazırlık Çerçevemize(yeni bir pencerede açılır) göre "Yüksek" düzeyde siber güvenlik yeteneğine ulaşabileceği varsayımıyla planlama yapıyor ve değerlendirmelerde bulunuyoruz. Bununla, iyi korunan sistemlere karşı, daha önce bilinmeyen güvenlik açıklarını uzaktan kullanabilen ve gerçekte işe yarayan istismarlar geliştirebilen ya da gerçek dünyada etki yaratmayı hedefleyen karmaşık ve gizli kurumsal veya endüstriyel sızma işlemlerine anlamlı ölçüde destek verebilen modelleri kastediyoruz. Bu yazıda, bu düzeyde kabiliyete ulaşan modeller için koruma önlemlerini nasıl ele aldığımızı ve kötüye kullanımı sınırlarken savunma uzmanlarına anlamlı katkı sunmalarını nasıl güvence altına almaya çalıştığımızı açıklıyoruz.
Bu kabiliyetler geliştikçe OpenAI, modellerimizi savunma amaçlı siber güvenlik görevlerinde daha etkili hale getirmeye ve savunma uzmanlarının kod denetimi ve güvenlik açıklarına yönelik yama süreçleri gibi iş akışlarını daha kolay yürütmesini sağlayacak araçlar geliştirmeye yatırım yapıyor. Hedefimiz, çoğu zaman sayı ve kaynak açısından dezavantajlı konumda bulunan savunma uzmanları için modellerimizin ve ürünlerimizin anlamlı bir avantaj yaratmasıdır.
Diğer çift kullanımlı alanlarda olduğu gibi, savunma ve saldırı odaklı siber iş akışları da çoğu zaman aynı temel bilgiye ve tekniklere dayanır. Bu güçlü kabiliyetlerin öncelikle savunma amaçlı kullanımlara hizmet etmesini ve kötü niyetli amaçlara sağlayabileceği desteğin sınırlı kalmasını destekleyecek koruma önlemlerine yatırım yapıyoruz. Siber güvenlik neredeyse her alanla kesiştiği için, yalnızca bilginin sınırlandırılması ya da doğrulanmış erişim gibi tek bir koruma önlemi kategorisine dayanamayız. Bunun yerine, riski dengeleyen ve kullanıcıları güçlendiren katmanlı bir savunma yaklaşımına ihtiyaç duyarız. Pratikte bu; kabiliyetlere nasıl erişildiğini, kabiliyetlerin nasıl yönlendirildiğini ve uygulandığını dikkatle şekillendirmek, böylece gelişmiş modelleri, kötüye kullanımı kolaylaştırmak yerine güvenliği güçlendirecek biçimde geliştirmek anlamına gelir.
Bu çalışmayı tek seferlik bir çaba olarak değil, savunmacılara avantaj kazandırmaya ve daha geniş ekosistemde kritik altyapının güvenlik duruşunu sürekli güçlendirmeye yönelik uzun vadeli ve sürdürülebilir bir yatırım olarak görüyoruz.
Modellerimiz, siber kötüye kullanımı tespit eden ve buna müdahale eden proaktif sistemlerle desteklenecek şekilde, güvenli çalışmak üzere tasarlanıp eğitilmiştir. Kabiliyetlerimiz ve tehdit ortamı değiştikçe bu korumaları da sürekli geliştiriyoruz. Siber güvenlikte, savunma amaçlı kullanımları ciddi ölçüde etkilemeden kötüye kullanımı tamamen önlemeyi hiçbir sistem garanti edemez.
Bu nedenle stratejimiz, riski çok katmanlı bir güvenlik yapısıyla azaltmaya dayanır. Bu yaklaşımın temelini; erişim denetimleri, altyapı sağlamlaştırma, çıkış denetimleri ve izlemeyi bir araya getiren çok katmanlı bir savunma modeli oluşturur. Bu önlemleri, tespit ve müdahale sistemlerinin yanı sıra özel tehdit istihbaratı ve içeriden risk programlarıyla destekliyoruz. Böylece yeni ortaya çıkan tehditler hızla tespit edilip engellenebiliyor. Bu koruma önlemleri, tehdit ortamıyla birlikte gelişecek şekilde tasarlanmıştır. Değişimi en baştan kabul ediyor ve sistemlerimizi buna hızlı ve uygun biçimde uyum sağlayabilecek şekilde tasarlıyoruz.
Bu temel üzerine şu unsurları inşa ediyoruz:
- Zararlı talepleri reddetmek veya bunlara güvenli şekilde müdahale etmek üzere modeli eğitme: En üst seviye modellerimizi, açık biçimde siber kötüye kullanımı mümkün kılabilecek talepleri reddedecek veya bu taleplere güvenli şekilde yanıt verecek biçimde eğitiyoruz. Bunu yaparken, meşru savunma ve eğitim amaçlı kullanım senaryolarında mümkün olduğunca faydalı olmalarını da hedefliyoruz.
- Tespit sistemleri: En üst seviye modellerimizi kullanan ürünlerde, olası kötü niyetli siber etkinlikleri tespit etmek amacıyla sistem genelindeki izleme mekanizmalarını sürekli geliştiriyor ve etkin şekilde sürdürüyoruz. Etkinlik güvenli görünmediğinde, çıktıyı engelleyebilir, komutları daha güvenli ya da daha düşük kapasiteli modellere yönlendirebilir veya yaptırım sürecini devreye alabiliriz. Yaptırım yaklaşımımız; yasal gereklilikler, ciddiyet düzeyi ve tekrar eden davranışlar gibi etkenlerden beslenen otomatik ve insan incelemesini bir araya getirir. Ayrıca geliştiriciler ve kurumsal müşterilerle yakından çalışarak güvenlik standartlarında uyum sağlıyor ve net eskalasyon yollarıyla sorumlu kullanımı mümkün kılıyoruz.
- Uçtan uca sistemdeki açıkları ve riskleri ortaya çıkarmaya yönelik stres testi: Güvenlik risklerini azaltma önlemlerimizi değerlendirmek ve iyileştirmek için uzman sistemdeki açıkları ve riskleri ortaya çıkarmaya yönelik stres testi kuruluşlarıyla çalışıyoruz. Bu ekiplerin görevi, kararlı ve iyi kaynaklara sahip bir saldırganın yapabileceği gibi, tüm savunmalarımızı uçtan uca aşmaya çalışmaktır. Bu sayede boşlukları erkenden tespit edip sistemin tamamını güçlendirebiliyoruz.
OpenAI, yapay zekayı savunma amaçlı siber güvenlik kullanım senaryolarına uygulama konusunda erken dönemde yatırım yaptı. Ekibimiz de hem modellerimizi hem de bunların uygulamaya geçirilmesini geliştirmek için küresel uzmanlarla yakın koordinasyon içinde çalışıyor. Dijital dünyamızı daha güvenli hale getirmek için çalışan küresel siber güvenlik uzmanları topluluğuna değer veriyoruz ve savunma amaçlı siber güvenliği destekleyen güçlü araçlar sunmaya kararlıyız. Yeni koruma önlemlerini devreye alırken, yapay zekanın dayanıklılığı nerede anlamlı biçimde güçlendirebileceğini ve düşünülerek tasarlanmış koruma önlemlerinin en çok nerede gerekli olduğunu anlamak için siber güvenlik topluluğuyla çalışmayı sürdüreceğiz.
Bu iş birliklerine ek olarak, savunma uzmanlarının daha hızlı hareket etmesine yardımcı olmak, koruma önlemlerimizi gerçek dünya ihtiyaçlarına dayandırmak ve sorumlu iyileştirmeleri ölçekli biçimde hızlandırmak için bir dizi girişimi hayata geçiriyoruz.
Yakında, savunma amaçlı kullanım senaryoları kapsamında, en yeni modellerimizin gelişmiş kabiliyetlerine siber savunma alanında çalışan ve uygunluk kriterlerini karşılayan kullanıcılar ve müşteriler için kademeli erişim sunmayı değerlendireceğimiz bir güvenilir erişim programını hayata geçireceğiz. Hangi kabiliyetleri daha geniş erişime açabileceğimizi, hangileri için ise kademeli kısıtlamaların gerekli olduğunu halen değerlendiriyoruz. Bu değerlendirme, programın gelecekteki tasarımını da etkileyebilir. Bu güvenilir erişim programının, dayanıklı bir ekosistemin temel yapı taşlarından biri olmasını hedefliyoruz.
Geliştiricilerin ve güvenlik ekiplerinin güvenlik açıklarını ölçekli biçimde tespit edip düzeltmesine yardımcı olan ajan tabanlı güvenlik araştırmacımız Aardvark şu anda özel beta aşamasında. Aardvark, kod tabanlarını güvenlik açıklarına karşı tarar ve proje yöneticilerinin hızla benimseyebileceği yama önerileri sunar. Kod tabanlarının tamamı üzerinde akıl yürütebildiği için, açık kaynak yazılımlarda yeni CVE'ler tespit etmeye de şimdiden başladı. Açık kaynak yazılım ekosisteminin ve tedarik zincirinin güvenliğine katkı sağlamak amacıyla, ticari olmayan belirli açık kaynak depolara ücretsiz kapsam sunmayı planlıyoruz. Katılmak için buradan başvurabilirsiniz.
Deneyimli siber savunma uzmanlarını ve güvenlik uygulayıcılarını, ekiplerimizle yakın iş birliği içinde bir araya getirecek danışma grubu niteliğindeki En Üst Seviye Model Riski Kurulu'nu kuruyoruz. Bu kurul ilk aşamada siber güvenliğe odaklanacak, zamanla diğer en üst seviye kabiliyet alanlarını da kapsayacak şekilde genişleyecek. Üyeler, faydalı ve sorumlu kullanım ile olası kötüye kullanım arasındaki sınır konusunda danışmanlık sağlayacak. Buradan elde edilen analizler de değerlendirmelerimize ve koruma önlemlerimize doğrudan yön verecek. Kurulla ilgili daha fazla bilgiyi yakında paylaşacağız.
Son olarak, sektördeki tüm en üst seviye modellerin siber kötüye kullanımı mümkün kılabilecek bir seviyeye ulaşabileceğini öngörüyoruz. Bu riski ele almak amacıyla, en üst seviye yapay zeka laboratuvarları ve sektör ortakları tarafından desteklenen, kâr amacı gütmeyen bir yapı olan Frontier Model Forum aracılığıyla diğer en üst seviye laboratuvarlarla birlikte çalışıyor; tehdit modelleri ve en iyi uygulamalar konusunda ortak bir anlayış geliştirmeyi hedefliyoruz. Bu bağlamda tehdit modelleme, yapay zeka kabiliyetlerinin nasıl kötüye kullanılabileceğini, farklı tehdit aktörleri açısından kritik darboğazların nerede bulunduğunu ve en üst seviye modellerin hangi alanlarda anlamlı düzeyde ek güç sağlayabileceğini ortaya koyarak güvenlik risklerinin azaltılmasına yardımcı olur. Bu iş birliği; tehdit aktörleri ve saldırı yollarına ilişkin ekosistem genelinde tutarlı bir anlayış oluşturmayı amaçlıyor. Böylece laboratuvarlar, proje yöneticileri ve savunma uzmanları, güvenlik risklerini azaltma önlemlerini daha etkili şekilde geliştirebilir; kritik güvenlik analizleri de ekosistem genelinde hızla yayılabilir. Ayrıca, siber güvenlik değerlendirmeleri(yeni bir pencerede açılır) geliştirmek üzere kurum dışı ekiplerle de çalışıyoruz. Bağımsız değerlendirmelerden oluşan bir ekosistemin, model kabiliyetlerine ilişkin ortak anlayışın gelişmesine daha da fazla katkı sağlayacağını düşünüyoruz.
Tüm bu çalışmalar, ekosistemin savunma tarafını güçlendirmeye yönelik uzun vadeli kararlılığımızı yansıtıyor. Modeller daha yetkin hale geldikçe hedefimiz, bu kabiliyetlerin savunma uzmanları için gerçek bir avantaj yaratmasına yardımcı olmaktır. Bunu da gerçek dünya ihtiyaçlarını temel alarak, uzman görüşleriyle şekillendirerek ve dikkatli bir devreye alım süreciyle gerçekleştirmeyi amaçlıyoruz. Bu çalışmanın yanında, geleneksel kanallardan çıkmayabilecek çığır açıcı fikirleri görünür kılmaya ve akademi, sektör ve açık kaynak topluluğunun dört bir yanından cesur ve yaratıcı savunma yaklaşımlarını kolektif biçimde ortaya çıkarmaya yardımcı olacak diğer girişimleri ve siber güvenlik hibelerini de değerlendirmeyi planlıyoruz. Genel olarak bakıldığında bu çalışmalar, devam eden bir sürecin parçası niteliğindedir. Gerçek dünya güvenliğini en etkili şekilde hangi yaklaşımların ileri taşıdığını öğrendikçe, bu programları geliştirmeyi sürdürmeyi bekliyoruz.
