Capital One, 17 Temmuz 2026'da, kaynak kodundaki güvenlik açıklarını tespit eden, saldırganın bu açıklara nasıl ulaşacağını haritalayan ve düzeltme önerileri sunan açık kaynaklı, ajan tabanlı bir yapay zeka aracı olan VulnHunter'ı yayınladı. Araç, Apache 2.0 lisansıyla GitHub'da kullanıma sunuldu ve büyük bir finans kurumunun saldırı amaçlı yapay zeka yeteneklerini kamuya açık bir savunma kaynağına dönüştürme yönündeki en iddialı girişimlerinden biri olarak değerlendiriliyor.

VulnHunter, geleneksel güvenlik tarayıcılarından farklı olarak "saldırgan-öncelikli ileri analiz" adı verilen bir yöntem kullanıyor. Araç, API'ler, ağ mesajları veya dosya yüklemeleri gibi gerçek bir saldırganın sisteme girebileceği noktalardan başlayarak uygulama mantığı boyunca ileriye doğru akıl yürütüyor ve bir istismar yolunun mevcut savunmaları aşıp aşamayacağını belirliyor. Geleneksel tarayıcılar ise genellikle tersine çalışarak tehlikeli bir kod kalıbını işaretleyip varsayımsal bir saldırgan için geriye doğru arama yapıyor; bu da çok sayıda yanlış pozitife yol açıyor.

Aracın ikinci yeniliği ise "yanlışlama motoru" (falsification engine). VulnHunter, potansiyel bir güvenlik açığı bulduktan sonra, kendi bulgusunu çürütmeye çalışan yapılandırılmış bir akıl yürütme işlemi başlatıyor. Mantıksal boşluklar, desteklenmeyen varsayımlar ve saldırının başarılı olmasını engelleyecek koşullar aranıyor. Yalnızca motorun eleyemediği bulgular insan incelemesine sunuluyor ve bu bulgular, istismar yolunun tam açıklaması ve mühendislik incelemesine hazır bir kod düzeltme önerisiyle birlikte geliyor.

VulnHunter şu anda Anthropic'in Claude Opus 4.8 modeli üzerinde Claude Code ortamında çalışıyor. Capital One, çerçevenin diğer temel modeller ve kodlama araçlarıyla da çalışma potansiyeline sahip olduğunu belirtiyor.

Neden önemli

Capital One'ın bu hamlesi, 2019'daki büyük veri ihlalinin ardından şirketin güvenlik stratejisinde köklü bir dönüşüm geçirdiğini gösteriyor. 106 milyon kişinin verilerinin sızdığı ve 80 milyon dolar para cezasıyla sonuçlanan olayın ardından Capital One, açık kaynak güvenlik araçlarına yatırım yaparak itibarını yeniden inşa etmeye odaklandı. Şirket, 2022'de Open Source Security Foundation'a üye oldu ve bugüne kadar 25'ten fazla açık kaynak proje yayınladı.

VulnHunter'ın açık kaynak olarak yayınlanması, modern yazılım tedarik zincirlerinin birbirine ne kadar bağımlı olduğu gerçeğine dayanıyor. Capital One, yaygın olarak kullanılan bir açık kaynak bileşendeki tek bir güvenlik açığının binlerce işletmeyi aynı anda etkileyebileceğini ve bu sorunun temelde ortak bir çözüm gerektirdiğini savunuyor. Şirket, aracı permissif bir lisansla yayınlayarak küresel güvenlik araştırmacıları topluluğunu aracı test etmeye, genişletmeye ve iyileştirmeye davet ediyor; bu da etkili bir şekilde kendi savunma altyapısını kitle kaynaklı hale getirirken ekosistemi de güçlendiriyor.

Capital One, VulnHunter'ı dahili olarak binlerce depoda test ettiğini ve aracın, daha önce manuel triyajla elde edilen hız ve verimliliğin çok üzerinde bir performans gösterdiğini bildiriyor. Bu, yapay zeka destekli saldırıların yaygınlaştığı bir dönemde, finans sektörünün geleneksel reaktif güvenlik yaklaşımlarından proaktif, yapay zeka odaklı savunmalara geçişinin önemli bir örneği olarak öne çıkıyor.