GÖRÜŞ: “Vibe Hacking” – Yeni AI Destekli Siber Güvenlik Tehdidi

Uzmanlar aylardır “vibe hacking”in tehlikeleri konusunda uyarıda bulunuyorlar, ancak bugüne kadar resmi olarak belirgin bir vaka rapor edilmemişti. Anthropic, kötü niyetli aktörlerin gelişmiş AI modellerini kullanarak siber saldırıları otomatikleştirdiğini ortaya çıkaran bir rapor yayımladı.

Teknoloji şirketleri, generative yapay zekayı, günlük yaşamdan siber güvenliğe her şey için bir panzehir olarak tanıtıyorlar. Ancak gelişmiş teknoloji her zaman iki yönlüdür: AI araçları iyi amaçlar için ya da zarar vermek için kullanılabilir. Ve her iki durumda da, bizi genellikle şaşırtırlar.

Bu yıl yayınlanan güçlü AI modelleri ve AI destekli araçları hacker’ların kullanmaya başlaması sadece zaman meselesiydi.

Birkaç ay önce, herkes “vibe coding” hakkında konuşuyordu ve nasıl yeni AI sistemlerinin, hiç kodlama deneyimi olmayan kişilerin etkili komutlar yazarak web siteleri ve uygulamalar oluşturmasına izin verdiği üzerinde duruluyordu.

Şimdi, kötü ikiziyle yüzleşiyoruz: “vibe hacking.” Yazılım geliştirme hakkında çok az bilgisi olan siber suçlular, büyük toplumsal etkiye sahip zararlı araçlar oluşturuyorlar.

Anthropic, ilk “vibe hacking” raporunu Tehdit İstihbarat Raporu: Ağustos 2025 adlı çalışmasında paylaştı ve kötü niyetli aktörlerin en gelişmiş AI modellerini nasıl karmaşık suç operasyonları için kötüye kullandığını ortaya çıkardı.

Kurbanları için kişiselleştirilmiş fidye notları oluşturmaktan, Ransomware-as-a-Service (RaaS) platformları kurmaya, hatta hackerlara karmaşık siber saldırılarda adım adım rehberlik etmeye kadar- işte insanların “vibe hacking” hakkında bilmesi gerekenler.

“Vibe Hacking” Nedir?

“Vibe hacking” terimi, yeni bir tehdit taktiğini ifade etmek üzere yakın zamanda benimsenmiştir: kötü niyetli aktörlerin ileri AI modellerinden faydalanarak karmaşık, büyük ölçekli siber saldırıları gerçekleştirmesi. Derin teknik bilgiye sahip olmadan bile, hackerlar güvenlik önlemlerini atlatmayı ve karmaşık operasyonları onlar adına gerçekleştirmek için güçlü AI ajanlarını kullanmayı başarıyor.

Haziranda, WIRED “vibe hacking” isimli bir durumun AI uzmanları arasında büyüyen bir endişe olduğunu bildirmişti. WormGPT ve FraudGPT gibi araçlar – etik korumalar olmadan inşa edilmiş AI sistemler – 2023’ten beri dolaşımda ve zaten kötü niyetli kişilerin eline geçmiş durumda.

Uzmanlar ayrıca, sınır AI modellerini “jailbreak” etmenin hacker’ların günlük rutinlerinin bir parçası haline geldiğini belirttiler. Ancak, AI destekli kitlesel saldırılar fikri birkaç ay önce hala teorikti. “Bunu, bir uçakta acil iniş durumunda ‘hazırlanın, hazırlanın, hazırlanın’ denilen bir duruma benzetiyorum, ancak henüz hiçbir şeye çarpmadık,” dedi güvenlik firması Hunted Labs’in kurucu ortağı Hayden Smith, WIRED ile yaptığı bir röportajda.

Şimdi, uçak iniş yaptı.

Vibe Hacking Dönemi Geldi

Son raporunda Anthropic, yalnızca temel kodlama becerilerine sahip olan ve Kuzey Kore’den çalışan tek bir hacker’ın, dünya genelinde 17 organizasyonu hedef aldığını açıkladı. Bu organizasyonlar arasında hükümet kurumları, sağlık hizmetleri sağlayıcıları, dini kurumlar ve hatta acil servisler bulunmaktadır.

Saldırgan, kampanyayı yürütmek için Anthropic’in ajan kodlama aracı olan Claude Code’a bel bağladı. AI sistemi, hangi verilerin dışa aktarılacağı konusunda önerilerde bulundu, şantaj mesajları taslakları oluşturdu ve hatta fidye talepleri önerdi – bazen $500.000’dan fazla miktarları tavsiye etti.

“Saldırganın AI’yi bizim düşündüğümüzden daha önce görülmemiş bir derecede kullandığını” diye yazdı Anthropic, geçtiğimiz haftaki duyurusunda. “Bu, AI destekli siber suçta bir evrimi temsil ediyor.”

Otonom AI Hacker Yardımcıları

Siber suçlular yıllardır yapay zeka ile deneyler yapıyorlar. “Vibe hacking”i farklı kılan şey, teknolojinin artık çoğu zor işi onlar için yapmasıdır.

Anthropic’in araştırması, kötü niyetli aktörlerin Claude Code’u birkaç şekilde kullandığını ortaya çıkardı: zararlı yazılım geliştirme, canlı operasyonlar sırasında saldırganları adım adım yönlendirme, çalınan devasa veri yığınlarını düzenleme ve analiz etme ve hatta her kurbanın zayıf noktalarına göre kişiye özel şantaj mesajlarını otomatikleştirme.

Bir durumda, Birleşik Krallık’taki bir kullanıcı, Claude’un bir yazılım oluşturmasını sağladı – ve sadece herhangi bir yazılım değil, ticari bir fidye yazılımı ürünü. AI modeli, kullanıcının CryptBB, Dread ve Nulle gibi forumlardan illegal aktiviteleri mümkün kılan fidye yazılımı satmasına yardımcı olacak bir fidye yazılımı hizmeti (RaaS) platformu oluşturdu.

En şok edici kısım mı? Kullanıcı, ne yaptıklarını tam olarak anlamamış gibi görünüyordu, çünkü sık sık Anthropic’in AI sisteminden yardım talep ettiler.

“Operasyon, ChaCha20 şifrelemesi, anti-EDR teknikleri ve Windows içsel istismarlarını içeren birden çok fidye yazılımı varyantının geliştirilmesini kapsar,” diye belirtiyor çalışma. “En endişe verici olanı ise aktörün AI’ya olan görünür bağımlılığıdır – karmaşık teknik bileşenleri uygulayamaz veya AI yardımı olmadan sorunları çözemezler, ancak yetenekli malware satmayı başarıyorlar.”

Bir zamanlar yetenekli hacker takımlarının aylarca hatta yıllarca tamamlaması gereken görevler artık AI modelleri tarafından yönetiliyor, bu modeller tek bir siber suçluya sürecin her aşamasında yardımcı olabilir.

AI Sistemleri Manipüle Edildi Ve Silah Olarak Kullanıldı

AI modellerinin insanlar üzerindeki zararlı etkisi, AI ile bağlantılı psikoz ve intiharlardan bağımlılık desenlerinin artmasına kadar son aylarda ciddi ve acil bir endişe haline gelmiştir. Ancak, AI’nın insanlara nasıl zarar verdiğine yoğun bir şekilde odaklanılırken, tersine daha az odaklanılmıştır: insanların AI modellerini nasıl manipüle edebileceği ve bunları sırayla başkalarına zarar vermek için nasıl kullanabileceği.

Birkaç gün önce, Pennsylvania Üniversitesi’nden araştırmacılar, AI modellerinin şaşırtıcı bir biçimde ikna ve övgüye karşı savunmasız olduğunu ortaya koyan bir çalışma yayınladılar. OpenAI’nin GPT-4o mini gibi modellerin sosyal mühendislik taktiklerine kurban gidebileceğini ve “parahumana” davranış sergileyebileceğini buldular – yani, insan davranışları üzerinde eğitildiklerinden, manipülasyon konusunda da insan zayıflıklarını taklit ediyorlar.

GPT-4o, genellikle insanların düştüğü popüler ikna prensiplerine kapıldı ve paylaşmaması gereken bilgileri ortaya çıkardı- daha geleneksel yönlendirmelerle erişilemez hale gelen veriler.

Anthropic ise, AI ajanını jailbreak yapmak için hackerların hangi yönlendirmeleri kullandığını açıklamadı, ne de sistem howlerinin sofistike siber saldırılara yardımcı olmak üzere nasıl manipüle edildiğini açıkladı. Yine de, son zamanlarda yapılan çalışmalar, bu modellerin çoğu insanın varsaydığından çok daha savunmasız olabileceğini öne sürüyor. Şans eseri – parmaklarımızı çaprazlıyoruz – artık belgelenmiş olan zafiyetlerin sömürülebilir olmayacağını umuyoruz.

Bir Deneme Yazmaktan Uluslararası Organizasyonları Hacklemeye

Hatırlar mısınız, chatbotlar hakkındaki en büyük endişe öğrencilerin bunları essaylerinde hile yapmak için kullanmalarıydı? İşte resmi olarak AI’nın kötüye kullanıldığı yeni dönem geldi – bu modeller çok daha büyük etkisi olan kötü amaçlı faaliyetler için silah olarak kullanılabiliyor.

Kötü niyetli kişiler artık AI modellerini karmaşık siber saldırılar için yardımcı pilot olarak kullanıyor – teknik uzmanlık gerektirmeden.

Anthropic, halka açık bir şekilde güvenlik açıklarını kapattığını, riskleri azalttığını ve benzer kötüye kullanımları önlemek için güvenlik önlemlerini artırdığını belirtti. Ancak, şirket aynı zamanda gelecekteki kullanıcıların veya diğer AI modellerinin nasıl sömürülebileceğini tahmin edemeyeceğini de kabul etti. Risk her zaman var olacak.

“Bu sadece Claude değil,” dedi Anthropic’in çalışanlarından biri yeni vibe hacking tehdidi için video duyurusunda. “Bu, muhtemelen tüm LLM’ler.”

Hâlâ vibe hacking’i tanıma aşamasındayız ve her geçen dakikayla, bu trendin yayılma riski artıyor gibi görünüyor. Bazı uzmanlar, çözümün daha fazla AI kullanmakta ve tüm çabaları hafifletmeye yönlendirmekte olduğunu öneriyor. Ancak bu strateji gerçekten uzun vadede sürdürülebilir mi? AI’lerin AI’lere karşı bir savaşı başlamış gibi görünüyor.