Salt Security tarafından yapılan yeni araştırma, hızlı API benimsenmesi ile olgunlaşmamış güvenlik uygulamaları arasındaki endişe verici kopukluğu ortaya çıkardı ve kritik yapay zeka ve otomasyon girişimlerinin başarısını tehdit etti. 2. Yarı 2025 API Güvenlik Durumu Raporu Kuruluşlar, ortaya çıkan Yapay Zeka Aracı Ekonomisinden yararlanmak için yarışırken, API güvenliğinin, ona güç veren dijital omurgada sistemik bir güvenlik açığı olarak ortaya çıktığını gösteriyor.
Bulgular, kuruluşlarındaki API’leri yönetmekle görevli 386 profesyonelin yanıtları üzerine yapılan bir araştırmadan elde edildi. Araştırma, özellikle kuruluşların %80’inin sürekli, gerçek zamanlı API izlemesinden yoksun olduğunu ve bu durumun onları yapay zeka aracılarını hedef alan aktif tehditlere karşı kör bıraktığını ortaya çıkardı.
Ayrıca araştırma, 3 şirketten 1’inin (%33) geçtiğimiz yıl bir API güvenlik olayı yaşadığını, %50’sinin ise API güvenlik endişeleri nedeniyle yeni bir uygulamanın kullanıma sunulmasını geciktirmek zorunda kaldığını ortaya çıkardı. Yalnızca %19’u API envanterlerinin doğruluğundan “çok emin”, yarıdan fazlası (%54) ise hassas verilerin açığa çıkmasını belirlemek için hataya açık geliştirici belgelerine güveniyor.
Salt Security Siber Güvenlik Stratejisi Direktörü Eric Schwake şunları söyledi: “API’ler artık dijital dönüşümün ve yapay zekanın merkezinde yer alıyor, ancak güvenlik kontrolleri tutarsız, tepkisel ve tehlikeli bir şekilde eğrinin gerisinde kalıyor. API güvenliği olmayan yapay zeka, gözleri kapalı bir araba kullanmaya benzer; API’leri yönetemezseniz, yapay zekayı yönetemezsiniz. Derhal harekete geçilmezse, izlenmeyen API saldırı yüzeyi genişlemeye devam edecek ve hem yeniliği hem de dayanıklılığı riske atacaktır.”
Üretken yapay zeka, API güvenliğine yeni karmaşıklık katmanları ekliyor. Kuruluşların %62’si API geliştirmede GenAI’yi halihazırda benimsemiş olsa da yarısından fazlası (%56) bunu özellikle yapay zeka tarafından oluşturulan koddaki güvenlik açıkları nedeniyle artan bir güvenlik sorunu olarak görüyor. Aynı zamanda %59’u güvenlik operasyonlarında GenAI’dan yararlanıyor ve hem savunma fırsatlarını hem de saldırı risklerini ortaya çıkaran bir dinamik yaratıyor.
Araştırma, API’lerin benimsenmesinde büyük bir büyüme olduğunu vurguluyor; kuruluşların %41’i geçen yıl %51-100’lük bir artış bildiriyor ve %13’lük bir kesim daha %101-200’lük bir büyüme yaşıyor.
Dikkat çekici bir şekilde, %6’sının API hacimleri yalnızca 12 ayda %301’in üzerinde artış göstererek üç kattan fazla arttı. Kuruluşların %42’si artık 101 ile 500 arasında API’yi yönetirken, %14’ü 1.000’den fazlasını denetlediğinden, bu hızlı genişleme portföy boyutuna da yansıyor; bu da günümüzün API ekosistemlerinin artan ölçeğini ve karmaşıklığını daha da ortaya koyuyor.
API güvenliğine yapılan yatırımların artmasına rağmen önemli zorluklar devam ediyor. Kuruluşların neredeyse yüzde 80’i geçtiğimiz yıl bütçelerini artırdı, ancak bu artışların çoğu yüzde 15’in altında mütevazı düzeyde kaldı. Katılımcıların %25’i bütçe kısıtlamalarını en büyük engel olarak belirtirken, bunu kaynak sıkıntısı (%16) izledi. Finansmanın ötesinde, yapısal kaygılar devam ediyor; %15’i yetersiz çalışma zamanı güvenliğine, %14’ü zayıf yönetilebilirliğe ve %12’si üretim öncesi güvenliğe yetersiz yatırıma dikkat çekiyor ve bu da birçok programın hâlâ olgunlaşmakta zorlandığına işaret ediyor.
Rapor, kuruluşları parçalanmış, reaktif savunmalardan sürekli API keşfi, daha güçlü yönetişim, çalışma zamanı koruması ve GenAI’ye özgü korumalar üzerine kurulu bütünsel bir stratejiye geçmeye çağırıyor.
Eric Schwake, “Yapay zekanın benimsenmesi çok yaygın, ancak güvenlik buna ayak uyduramıyor. Mevcut araçlar API yürütme katmanını kaçırıyor, bu da saldırganların tüm AI aracılarını API’ler aracılığıyla ele geçirebileceği anlamına geliyor” diye ekledi. “API güvenliğinde uzmanlaşan kuruluşlar, yapay zeka odaklı inovasyonun kilidini geniş ölçekte güvenli bir şekilde açabilecek. Bunu başaramayanlar ise geride kalma riskiyle karşı karşıya kalacak.”
Araştırma, API Güvenliği Kör Noktalarının Yapay Zeka Aracısı Dağıtımlarını Riske Atabileceğini Buluyor yazısı ilk olarak IT Security Guru’da çıktı.