Chrome 149'un Rekor Yama Yükü ve FFmpeg'deki 23 Yıllık Zafiyet
Google'ın Chrome 149 güncellemesi 429 güvenlik açığını yamadı—tarayıcı tarihinde tek bir sürüm için en yüksek rakam. Aynı hafta içinde, depthfirst adlı otonom yapay zeka güvenlik ajanı, FFmpeg'in yaklaşık 1,5 milyon satırlık C kodunda 21 adet sıfır gün zafiyeti keşfetti. Ajans, 2003'ten beri hiç fark edilmemiş bir stack overflow açığını yaklaşık 1.000 dolar maliyetle ortaya çıkardı—23 yıl boyunca insan güvenlik araştırmacılarının gözünden kaçan bir sorun.
Bu gelişmeler yazılım güvenliğinde bir kapasiteyi açığa çıkarıyor: yapay zeka araçları güvenlik açıklarını insanlardan daha hızlı ve daha ucuz buluyor. Ancak keşif hızı ile triaj, yama geliştirme ve dağıtım arasında bir makas açılıyor. Chrome'un 371 açığı kendi ekipleri tarafından bulunurken dışarıdan sadece 58 rapor gelmesi, Google'ın Nisan 2026'da bug bounty programını AI raporlarının çoğalması nedeniyle değiştirmek zorunda kalması, ve FFmpeg'de 15–23 yıl arası gizlenmiş açıkların şimdi tek bir AI tarafından ortaya dökülmesi, bu dengenin bozulduğunu gösteriyor.
depthfirst'ün FFmpeg'de Bulduğu 21 Sıfır Gün
depthfirst'ün otonom AI ajanı, FFmpeg'in yaklaşık 1,5 milyon satırlık C kodunu taradı ve 21 adet önceden bilinmeyen, doğrulanmış güvenlik açığı keşfetti. Bunlardan bazıları 15–23 yıl boyunca kodda kaldı ve tespit edilmedi. En dikkat çekeni, 2003 yılında ortaya çıkan ve 23 yıl boyunca düzeltilmeden kalan bir stack overflow zafiyeti.
AI ajanı, doğrudan yeniden üretilebilir proof-of-concept kodları üretti. Bu format—kısa, net, hemen test edilebilir—Google'ın Nisan 2026'da bug bounty programını değiştirirken talep ettiği çıktı biçimidir. Önceki dönemlerde Big Sleep ve Mythos gibi AI araçları da FFmpeg'de zafiyet bulmuştu, ancak depthfirst'ün tek seferde 21 sıfır gün ortaya çıkarması, ölçek ve hız açısından yeni bir eşiği işaretliyor.
AI tabanlı zafiyet keşfi neden bu kadar etkili? Geleneksel güvenlik incelemeleri insan hızı, maliyet ve önceliklendirme altında yürür. FFmpeg gibi 1,5 milyon satırlık bir kod tabanını manuel satır satır taramak zaman alıcı ve pahalıdır. AI ajanları binlerce kodu paralel işleyebilir, kalıpları tanır ve yorgunluk yaşamaz. depthfirst'ün yaklaşık 1.000 dolar maliyetle bu çalışmayı yapması, maliyet avantajının ne kadar çarpıcı olduğunu gösteriyor.
Neden Eski Kod Tabanlarında Saklı Açıklar Kalıyor?
FFmpeg, medya işleme kütüphanesi olarak video oynatıcılardan yayın altyapılarına kadar geniş bir alana hizmet ediyor. Bu kadar kritik yazılımda 23 yıldır gizlenmiş bir zafiyet, temel bir soruya işaret ediyor: kod tabanı neden bu kadar uzun manuel denetim olmadan kaldı?
C gibi low-level dillerde yazılmış eski kod tabanları genellikle güvenlik incelemesine tabi tutulmadan büyür. FFmpeg'in ilk versiyonları 2000'lerin başında yazıldı. İkincisi, kod tabanının sürekli genişlemesi, tüm modüllerin düzenli incelemesini imkânsız kılır. Üçüncüsü, stack overflow gibi zafiyetler belirli girdi kombinasyonu veya senaryosuyla tetiklenir; manuel testlerle bu kombinasyonu bulmak zor, otomatik fuzzing ile bile zaman alabilir. AI ajanları kodu statik ve dinamik analiz yöntemleriyle paralel tarayıp kalıpları tanır, insanların gözden kaçırdığı girdi kombinasyonlarını üretebilir.
Chrome 149'da 429 Güvenlik Açığının Yamandığı Sürüm
Chrome 149, 429 güvenlik açığını yamaladı—tek bir sürümde hiç görülmemiş bir rakam. Bunun 22'si kritik seviyede; çoğunluğu use-after-free türünde (CVE-2026-10881'den CVE-2026-10902'ye kadar). Toplamda 110 use-after-free açığı yamandı. WebGL kütüphanesi Angle'da ise 37 adet zafiyet düzeltildi.
Google'ın güvenlik ekipleri 371 açığı kendi içlerinde tespit etti. Dışarıdan gelen güvenlik araştırmacıları sadece 58 zafiyet bildirdi. 22 kritik açıktan 19'u Google'ın kendi ekipleri tarafından bulundu; yaklaşık 90 yüksek-önem açığın sadece 10'u dış araştırmacılardan geldi. Google, dışarıdan gelen katkılara 209.000 dolar ödül ödedi.
Bu rakamlar Google'ın dahili zafiyet tespit kapasitesinin arttığını gösteriyor. Ancak dış araştırmacı katkısının oransal düşüşü, bağımsız güvenlik topluluğunun Google'ın kaynakları karşısında rekabet edemediğini de ima ediyor. Henüz patched olan hiçbir açığın vahşi ortamda sömürülmediği belirtiliyor—yama döngüsü açıkları kapatmak için hızlı, ancak 429 yamanın tek sürümde toplanması tespit hızının ne kadar büyüdüğünü gösteriyor.
Use-After-Free Açıklarının Bolluğu
Use-after-free (UAF), bellek yönetiminde sık karşılaşılan bir hata türüdür. C++ gibi manuel bellek yönetimi gerektiren dillerde, bir nesne bellekten serbest bırakıldıktan sonra ona erişim yapılmaya çalışıldığında oluşur. 110 adet UAF açığının Chrome 149'da yamandığı, Blink rendering motoru, V8 JavaScript motoru ve Angle'da bu tür hataların yaygın olduğunu gösteriyor. Bu açıklar belirli bir kullanıcı etkileşimi veya JavaScript kombinasyonuyla tetiklenir—insan testçilerin bulması zor, otomatik araçların hızlıca tespit edebileceği türden senaryolardır.
Google'ın Bug Bounty Programını Neden Değiştirdi
Google, Nisan 2026'da bug bounty programını revize etti. Sebebi AI tarafından üretilen zafiyet raporlarında yaşanan hacim artışı. Eski formatta, araştırmacılar uzun betimleyici raporlar gönderiyordu. AI araçları aynı formatta yüzlerce rapor üretilebiliyordu—ancak triajı insani kapasiteyi aştı.
Yeni format, "kısa, doğrudan yeniden üretilebilir proof-of-concept" kodları talep ediyor. Uzun yazılar yerine, tek tıkla test edilebilir minimal repro scriptleri tercih ediliyor. Bu, AI raporlarının verimli işlenmesini sağlıyor, fakat aynı zamanda geleneksel rapor yazım formunun değerinin azaldığını gösteriyor.
Yamalama Kapasitesinin Daralması
Asıl darboğaz tespit değil, düzeltme ve dağıtım. Chrome 149'da 429 yama, bir sürümde yayınlanabilecek kapasiteye yaklaşıyor. FFmpeg'de ortaya çıkan 21 sıfır gün, proje yöneticilerine aniden 21 adet kritik yama görevi yüklüyor. FFmpeg gibi açık kaynak projeler gönüllü katkılarla yürür—tam zamanlı güvenlik ekipleri olmayabilir. AI'ın bulduğu her yeni zafiyet, bu projelere kaynak baskısı yaratıyor.
Asıl işin darboğazı, insan geliştiricilerin kodu inceleyip düzeltmesi, test ekiplerinin yamaları doğrulaması ve dağıtım kanallarının güncellemeleri kullanıcılara ulaştırmasıdır. Bu süreçler otomasyon kazanıyor, ancak AI'ın tespit hızına henüz yaklaşamıyor. Sonuç, güvenlik açıklarının keşfi ile düzeltilmesi arasında büyüyen bir gecikme.
Küçük ve Orta Ölçekli Yazılım Ekipleri İçin Pratik Adımlar
Türkiye'deki yazılım geliştirme ekipleri, özellikle küçük ve orta ölçekli firmalar, genellikle güvenlik için ayrılmış özel bütçe veya ekibe sahip değildir. Birçok proje açık kaynak kütüphanelere bağımlıdır: FFmpeg, OpenSSL, libcurl, Node.js.
Bu ortamda başvurulacak önlemler somuttur: (1) Üçüncü taraf kütüphanelerdeki güncellemeleri izlemek—özellikle Google, Microsoft ve Mozilla gibi kurumlar tarafından desteklenen projeleri. FFmpeg'deki 21 yeni zafiyeti hızlıca bildirmek, kullandığınız sürümü kontrol etmek. (2) Bağımlılık tarama araçlarını (Snyk, Dependabot, Black Duck) bir CI/CD pipeline'ına entegre etmek. (3) Kritik kütüphaneleri izin altında tutulanlardan seçmek. Depthfirst gibi AI tabanlı araçlar hızlı keşfediyorsa, bu araçların raporlarını dış kaynaklardan önce yönetmeniz gerekecek. (4) Patch yönetim döngüsünü hızlandırmak—Chrome'un 429 yaması, tek sürümde bunun kaçınılmaz hale geleceğini gösteriyor.
