OpenAI’nin Codex Security’si, Anthropic ile Yapay Zekâ Siber Güvenlik Yarışı Kızışırken Sahneye Çıkıyor

OpenAI, Anthropic’in Claude Code Security’sine Meydan Okumak İçin Codex Security’yi Başlattı

Yayın, insan güvenlik ekiplerinin asla yetişemeyeceği kadar büyük yazılım projelerini çok daha hızlı tarayabilen yapay zekâ araçlarına yönelik artan ilginin ortasına denk geliyor. Codex Security; depoları analiz etmek, güvenlik açıklarını tespit etmek, bunları izole test ortamlarında doğrulamak ve geliştiricilerin uygulamadan önce inceleyebileceği düzeltmeler önermek üzere tasarlandı. Sistem, bağlamı commit’ten commit’e inşa ederek yapay zekânın kodun nasıl evrildiğini anlamasını sağlıyor; yalnızca izole parçacıkları işaretlemekle yetinmiyor.

OpenAI şöyle yazdı:

“Codex Security’yi tanıtıyoruz. Kod tabanınızı güvence altına almanıza; güvenlik açıklarını bularak, doğrulayarak ve inceleyip yamalayabileceğiniz düzeltmeler önererek yardımcı olan bir uygulama güvenliği ajanı. Artık ekipler, önemli olan güvenlik açıklarına odaklanıp kodu daha hızlı yayımlayabilir.”

OpenAI, aracın; geliştiricilerin kod yazmasına, hataları düzeltmesine ve pull request önermesine yardımcı olan, Mayıs 2025’te tanıtılan bulut tabanlı bir yapay zekâ mühendislik asistanı olan Codex ekosistemi üzerine inşa edildiğini söyledi. Şirkete göre Mart 2026 itibarıyla Codex kullanımı haftalık yaklaşık 1,6 milyon kullanıcıya yükseldi. Codex Security, bu yetenekleri; yıllık yaklaşık 20 milyar dolar gelir üretmesi beklenen bir sektör olan uygulama güvenliğine taşıyor.

OpenAI’nin duyurusu, aynı zamanda GPT-5.3 Instant ve GPT-5.4’ü de yayınlamış olmasıyla geldi. Bu hamle ayrıca Anthropic’in 20 Şubat’ta, tüm kod tabanlarını tarayan ve tespit edilen güvenlik açıkları için yamalar öneren Claude Code Security’nin çıkışının ardından geldi. Claude Opus 4.6 modeli üzerine inşa edilen araç, yalnızca statik tarama kurallarına dayanmak yerine; iş mantığını, veri akışlarını ve sistem etkileşimlerini analiz ederek yazılım hakkında bir insan güvenlik araştırmacısı gibi akıl yürütmeye çalışıyor.

Anthropic, Claude Code Security’nin açık kaynak yazılım projelerinde halihazırda 500’den fazla güvenlik açığını tespit ettiğini; bunların arasında yıllardır fark edilmeden kalmış sorunların da bulunduğunu söyledi. Şirket şu anda özelliği kurumsal ve ekip müşterileri için bir araştırma önizlemesi olarak sunuyor; açık kaynak sürdürücüleri ise ücretsiz olarak hızlandırılmış erişim talep edebiliyor.

Her iki şirket de kod bağlamı hakkında akıl yürütebilen yapay zekâ sistemlerinin, çoğu zaman yüksek miktarda yanlış pozitif üreten geleneksel güvenlik açığı tarayıcılarını geride bırakacağına bahis oynuyor. Claude Code Security, bu sorunu ele almak için bulguları yeniden kontrol eden ve önem derecesi ile güven düzeyi puanları atayan çok aşamalı bir doğrulama sistemi kullanıyor.

Codex Security ise biraz farklı bir yaklaşım benimsiyor. Ajan, yalnızca model çıkarımına dayanmak yerine, şüpheli güvenlik açıklarını sonuçları sunmadan önce sandbox’lanmış ortamlarda doğruluyor. OpenAI, bu sürecin gürültüyü azalttığını ve yapay zekânın test sırasında toplanan kanıtlara göre bulguları sıralamasına olanak tanıdığını söyledi.

“Codex Security, geçen yıl özel beta olarak başlatılan Aardvark olarak başladı,” diye X’te yazdı OpenAI. Şirket şunları ekledi:

“O zamandan beri sinyal kalitesini önemli ölçüde iyileştirdik; gürültüyü azaltıp, önem derecesi doğruluğunu artırıp, yanlış pozitifleri düşürerek bulguların gerçek dünya riskiyle daha iyi örtüşmesini sağladık.”

Codex Security sonuçlarını inceleyen geliştiriciler, destekleyici verileri gözden geçirebilir, önerilen yamalara ait kod farklarını (diff) görüntüleyebilir ve düzeltmeleri Github iş akışları üzerinden entegre edebilir. Sistem ayrıca ekiplerin saldırı yüzeyi, depo kapsamı ve risk toleransı gibi parametreleri ayarlayarak tehdit modellerini özelleştirmesine olanak tanıyor.

Anthropic’in lansmanı siber güvenlik sektörünün bazı bölümlerini sarsmışken, OpenAI’nin girişi şu ana kadar piyasa paniğinden çok daha fazla konuşulmaya neden oldu. Claude Code Security Şubat’ta çıkış yaptığında, Crowdstrike ve Palo Alto Networks gibi şirketler dahil olmak üzere bazı siber güvenlik hisseleri kısa süreliğine %5 ile %10 arasında düşmüş, ardından sonraki işlem seanslarında büyük ölçüde toparlanmıştı.

O dönemde analistler, satış dalgasının; yapay zekâ araçlarının uygulama güvenliği pazarının bazı bölümlerini ikame edip edemeyeceğine dair endişeyi muhtemelen yansıttığını söyledi. Ancak birçok araştırmacı, AI araçlarının onları tamamen değiştirmekten ziyade mevcut güvenlik platformlarını tamamlamasının daha olası olduğunu savunuyor.

Yapay zekâ destekli güvenlik açığı tespiti, son iki yılda hızla ilerledi; büyük dil modelleri (LLM’ler) Capture-the-Flag yarışmaları ve otomatik güvenlik açığı keşfi gibi siber güvenlik araştırma görevlerinde giderek daha fazla rol alıyor. Bu yetenekler savunmacıların yazılım zafiyetlerini daha hızlı belirlemesine yardımcı olabilir—ancak saldırganların da benzer sistemleri potansiyel olarak istismar edebileceğine dair endişeleri artırıyor.

Bu riskleri ele almak için OpenAI, 5 Şubat’ta; doğrulanmış güvenlik araştırmacılarına savunma amaçlı araştırmalar için gelişmiş modellere kontrollü erişim sağlayan “Trusted Access for Cyber” girişimini başlattı. Anthropic ise Pacific Northwest National Laboratory gibi kurumlarla ortaklıklar ve kurum içi red-team programları aracılığıyla benzer bir yaklaşım benimsedi.

Yapay zekâ güvenlik ajanlarının ortaya çıkışı, birçok araştırmacının “ajan tabanlı siber güvenlik” olarak adlandırdığı şeye doğru bir kaymayı işaret ediyor; burada otonom sistemler yazılım güvenlik açıklarını sürekli analiz ediyor, test ediyor ve gideriyor. Başarılı olursa, bu tür araçlar; güvenlik açığının keşfi ile yamanın devreye alınması arasındaki süreyi kısaltabilir—modern yazılım güvenliğindeki en büyük zayıflıklardan biri.

Geliştiriciler ve güvenlik ekipleri için zamanlamayı görmezden gelmek zor. Yapay zekâ artık yalnızca kod yazmıyor—artık onu denetliyor, bozuyor ve düzeltiyor; çoğu zaman aynı iş akışı içinde.

Ve OpenAI ile Anthropic artık kafa kafaya rekabet ederken, siber güvenlik araçlarının bir sonraki dalgası geleneksel tarayıcılar olarak değil; asla uyumayan, asla şikâyet etmeyen ve ideal olarak hacker’lar yakalamadan önce hataları yakalayan yapay zekâ ajanları olarak gelebilir.

SSS 🤖

• OpenAI’nin Codex Security’si nedir?
  Codex Security, GitHub depolarını tarayan, güvenlik açıklarını doğrulayan ve kod düzeltmeleri öneren yapay zekâ destekli bir uygulama güvenliği ajanıdır.
• Codex Security, geleneksel güvenlik açığı tarayıcılarından nasıl farklıdır?
  Sistem, kod bağlamını analiz etmek ve yanlış pozitifleri azaltmak için yapay zekâ akıl yürütmesi ve sandbox doğrulaması kullanır.
• Anthropic’in Claude Code Security’si nedir?
  Claude Code Security, Anthropic’in Claude modelini kullanarak kod tabanlarını güvenlik açıkları için tarayan ve yamalar öneren rakip bir yapay zekâ aracıdır.
• Yapay zekâ şirketleri neden siber güvenlik ajanları geliştiriyor?
  Yapay zekâ ajanları, yazılım güvenlik açıklarını geleneksel araçlara kıyasla daha hızlı tespit edip düzeltebilir; geliştiricilerin geniş ölçekte kod güvenliğini güçlendirmesine yardımcı olur.