« Tüm yayınlar

» Özet

14 Tem 2026

14 Tem 2026
Bugün

Yapay Zeka Ekosisteminde Güvenlik ve Veri Bütünlüğü Krizi: MCP Protokolünden Eski Sistemlere Kadar Büyüyen Tehditler

Yapay zeka araçlarının hızla yaygınlaşması, beraberinde ciddi güvenlik ve veri bütünlüğü sorunlarını getiriyor. Model Context Protocol (MCP) üzerinde yapılan iki büyük ölçekli araştırma, protokolün yapısal zaaflarını gözler önüne serdi. `MCPZoo` adlı çalışma, 64 binden fazla MCP sunucusunu dinamik olarak analiz ederek mevcut güvenlik tarayıcılarının ciddi güvenilirlik sorunları olduğunu ortaya koydu. Ayrı bir inceleme ise MCP'de 'Confused Deputy' sorununa yol açan kritik bir kaynak doğrulama boşluğu ve DNS rebinding riski tespit etti; `tool_result` içeriği, kaynağı doğrulanabilir hiçbir kriptografik bilgi taşımıyor.

Çok kiracılı AI ve SaaS ürünlerindeki yetkilendirme hataları da endişe verici boyutlara ulaştı. Bir güvenlik araştırmacısı, 200'den fazla ürünün kaynak kodunu taradı ve 78 üründe 84 ayrı kiracılar arası veri sızıntısını doğruladı. Hataların birçoğu, yazma uçlarında uygulanan yetkilendirme kontrolünün okuma uçlarında unutulmasından kaynaklanıyordu ve 31'i resmi güvenlik tavsiyesi olarak dosyalandı.

AI ajanlarında sessiz veri kaybı, başka bir katmanda sorun yaratıyor. Kendi kendine öğrenen bir ajanın yazdığı dersin bir sonraki okumada kaybolmasına yol açan dört farklı kök neden tespit edildi: anahtar uyuşmazlığı, özetleme sırasında veri düşmesi, eşzamanlı yazma yarışı ve bayat görüntüden yazma. Bu kayıplar hiçbir hata logu üretmeden gerçekleşiyor ve yalnızca iz kaydıyla yakalanabiliyor.

Maliyet ve güvenilirlik cephesinde ise dikkat çekici pratik çözümler ortaya çıktı. Claude Code ile otomatik kod incelemesinde, tüm depoyu okutmak yerine yalnızca diff'in `blast radius` BFS'i ile sınırlı bir çağrı grafiği kullanan Tree-sitter tabanlı bir yöntem, token tüketimini 8 ila 49 kat düşürdü. Öte yandan altı LLM değerlendirme aracını CI'a bağlayan bir ekip, yalnızca deterministik kontrollerin (string eşleşme, regex, JSON şema) güvenilir geçti/kaldı kararı verdiğini, LLM-as-judge skorlarının eşik yakınında dalgalandığını gösterdi.

Eski sistemlerin modernizasyonunda yapay zeka umut vadediyor ancak doğrulama açmazı sürüyor. AI araçları COBOL kodunu hızla Java'ya çevirebiliyor; ancak onlarca yıllık dokümante edilmemiş iş kurallarının ve uç durum davranışlarının korunup korunmadığını spot-testlerle kanıtlamak mümkün değil. COBOL'un sabit noktalı aritmetiğinin Java'da sessizce kayan noktalıya dönüşmesi gibi ince hatalar, milyonlarca hesapta birikerek büyük sorunlara yol açabiliyor.

Son olarak MIT araştırmacıları, CSAM üretmek üzere ince ayar yapılmış AI modellerini tek bir yasadışı görüntü oluşturmadan tespit eden 'Gaussian probing' yöntemini tanıttı. LoRA adaptörlerinin iç temsillerde yarattığı değişimleri analiz eden teknik, testlerde %100 doğruluk sağladı. Bu gelişme, AI destekli CSAM raporlarının 2024'te 67 binden 2025'te 1,5 milyonu aşmasıyla daha da kritik hale geldi.

» İstatistikler

Yayın
226
Okunma
0
Ort. puan
7.7

» En yüksek puan

  1. AI ajanlarında sessiz veri kaybının dört nedeni09.0
  2. 200 self-hosted AI aracı incelendi: 78'inde kiracı izolasyonu kırık çıktı09.0
  3. Claude Code İncelemesinde Token Faturası Tree-sitter Graf ile 8-49x Düştü08.8
  4. AI COBOL'u Java'ya Hızla Taşır, Doğruluğunu Kanıtlamak Asıl Zorluk08.8
  5. Altı LLM değerlendirme aracını CI'a bağladık, sadece ikisi ayakta kaldı08.8
  6. MCP'de Confused Deputy Sorunu: Kaynak Doğrulama Boşluğu ve DNS Rebinding08.8
  7. MIT'in Yeni Yöntemi CSAM Üretimine Ayarlı AI Modellerini Görüntü Üretmeden Tespit Ediyor08.8
  8. SirixDB: Sayfa-altı sürümlemeyle bitemporal JSON veritabanı08.6
  9. Kohezyon Serisi Tamamlandı: Beş Makale Bağımsız Değişim İlkesi'ne Bağlanıyor08.6
  10. MCP Güvenliği Yeniden Ele Alınıyor: 64 Bin Sunuculuk Dev Ölçekli Çalışma08.6

» Kaynaklar

Dev.to158Hacker News — Front Page15Hashnode #814Hashnode #96Artificial Intelligence Reddit4Hashnode #153Hashnode #33Hashnode #13Cyber Security Reddit2Frontend Development Reddit2Hashnode #182Hashnode #122Hashnode #142Airbnb Tech Blog1Hashnode #161Hashnode #101Cloudflare Blog1Martin Fowler1Hashnode #51Slack Engineering1Pragmatic Engineer1Netflix TechBlog1Hashnode #201