Back to Research
Metodoloji

Ajan Tabanlı (Agentic) Siber Güvenlik Nedir? Pentester'ların Yerini Yapay Zeka mı Alıyor?

Yiğit İbrahim SağlamOffensive Security Specialist
April 5, 2026
5 min read

Siber güvenlik sektörü, her yeni teknolojik sıçramada kendini baştan tanımladı. Antivirüslerden EDR'lara, manuel kod incelemelerinden otomatik statik analiz araçlarına (SAST) geçiş yaptık. Şimdi ise çok daha büyük bir devrimin, Ajan Tabanlı (Agentic) Siber Güvenliğin tam ortasındayız.

"Peki bu sadece abartılmış bir pazarlama (hype) kelimesi mi, yoksa gerçekten Red Team ve Pentester mühendislerinin işini elinden alacak bir teknoloji mi?"

En Kısa Cevap: Hayır, uzmanların yerini tamamen almayacak, ancak otonom karar verebilen ajanları kullanmayan güvenlik firmaları piyasadan silinecek. Geleneksel güvenlik araçları, sadece kendilerine verilen "şu IP'ye şu payload'u gönder" komutunu çalıştıran aptal botlardır. Ajan Tabanlı (Agentic) Güvenlik ise; LLM (Büyük Dil Modeli) destekli yapay zeka ajanlarının, tıpkı insan bir hacker gibi sistem mimarisini analiz ederek "Ben şu an bir e-ticaret sitesindeyim, eğer ödeme API'sini kandırırsam bedavaya sipariş verebilirim" şeklinde hipotezler kurup bunları otonom olarak test etmesidir. İnsan zekasını taklit eden bu sistem, kurumların güvenlik maliyetlerini düşürürken testlerin derinliğini ve hızını inanılmaz oranda artırır.

Bu yazıda ajan tabanlı güvenlik kavramını, geleneksel teknolojilerle farkını ve Eresus Security'nin bu altyapıyı nasıl kullandığını detaylandıracağız.

1. Otomasyon (Automation) vs. Ajan (Agent) Arasındaki Kritik Fark

Piyasada halihazırda yıllardır "otomatik zafiyet tarama" araçları (Nessus, Acunetix vb.) bulunuyor. Peki "Agentic" yapıyı bunlardan farklı kılan nedir?

  • Geleneksel Otomasyon (Kural Tabanlı): Bir komut dosyasına (script) bağlıdır. Sistemdeki binlerce URL'ye sırayla ' OR 1=1 yazıp SQL Injection arar. Eğer karşısına beklediğinden farklı bir yanıt, örneğin bir Web Application Firewall (WAF) blokajı çıkarsa, ne yapacağını bilemez ve işlemi bitirip "Burada güvenlik duvarı var" diyerek pes eder.
  • Ajan Tabanlı Yapı (Bağlam ve Hedef Odaklı): Agent (Ajan), kurala değil bir hedefe odaklatılır. Örneğin hedef "Admin paneline yetkisiz erişim sağla" şeklindedir. Ajan WAF engeli ile karşılaşırsa pes etmez. Tıpkı insan gibi düşünür: "WAF engeline takıldım. Acaba JSON formatında değil de XML formatında istek göndersem WAF bunu anlar mı? Veya Header kısmına yerel IP ekleyerek WAF'ı IP bypass'a zorlayabilir miyim?" diyerek alternatif yollar dener.

Uzman Görüşü: "Ajan tabanlı güvenlik, silahı olan bir robot değil, stratejisi olan bir askerdir. Kod okur, API dökümantasyonunu inceler, sistemin zayıf zincirini matematikle değil mantıkla bulur."

2. Agentic Security Mimarisinin İşleyiş Döngüsü

İnsan hackerların yaptığı bir işlemi otonom ajanların nasıl başardığını adım adım inceleyelim:

A. Algılama ve Keşif (Perception)

Ajan sisteme dahil olduğunda sadece açık portlara bakmaz. Verilen GitHub repository'sini veya Swagger API dökümantasyonunu okur. Hangi teknolojilerin kullanıldığını, fonksiyonların birbiriyle nasıl konuştuğunu idrak eder.

B. Planlama ve Hipotez Kurma (Reasoning)

Bulduğu verilere dayanarak saldırı yolları tasarlar. "Sistemde Redis önbellek mekanizması var. Eğer SSRF (Sunucu Taraflı Talep Sahteciliği) açığı bulursam, bu açık üzerinden Redis'e ulaşıp sistemde komut çalıştırabilirim." diyerek bir saldırı senaryosu (Attack Tree) oluşturur.

C. Aksiyon ve Adaptasyon (Action Execution)

Planladığı saldırı ağacını uygulamaya başlar. Eğer ilk denemesi engellenirse, bir önceki adıma dönüp hatasından ders çıkarır ve yeni bir yol planlar.

3. Karşılaştırma: Geleneksel Pentest, Zafiyet Tarama ve Ajan Tabanlı Pentest

Bu üç yapının işletmelere sunduğu değerleri net bir tabloda görelim:

| Özellik | Zafiyet Tarama (Scanner) | İnsan Destekli Manuel Pentest | Ajan Tabanlı (Agentic) Pentest | | :--- | :--- | :--- | :--- | | İş Mantığı (Business Logic) Anlayışı | Yok | Çok Yüksek | Yüksek (Sürekli Gelişiyor) | | Hız / Ölçeklenebilirlik | Çok Yüksek (Dakikalar) | Çok Düşük (Haftalar/Aylar) | Çok Yüksek (Saatler/Günler) | | False Positive (Yanlış Alarm) Oranı | Yüksektir | Neredeyse Yoktur | Düşüktür (Ajan kendini doğrular) | | Uyarlanabilirlik (Adaptation) | Sabittir (Sadece bilinenleri arar) | Değişkendir (Hacker'ın yeteneğine bağlı) | Dinamiktir (Engellendikçe yeni yol bulur) | | Gece-Gündüz Çalışma (7/24 Kesintisizlik)| Evet | Hayır (Mesaiden mesaiye) | Evet |

4. Eresus Security Vaka Analizi: Agentic Yaklaşım Nasıl Fark Yaratır?

Bir finans kuruluşunun (Fintech) API sistemini test ettiğimizi düşünelim. Kurum geliştiricileri, "Para Transfer" fonksiyonunda güvenlik için çift aşamalı bir doğrulama (Token A ve Token B) mekanizması kurmuşlardır.

  • Genel bir piyasa tarayıcısı bu tokenları anlamsız veri olarak görür ve pas geçer.
  • Bir manuel sızma testi uzmanı, bu tokenların nasıl oluşturulduğunu çözmek için bazen haftalar harcayabilir. Bütçesi biten/zamanı daralan çoğu tester bu kısmı atlamak zorunda kalır.
  • Eresus Security'nin Ajanları ise yüz binlerce satırlık API çağrı loglarını anında hafızasına alarak, "Eğer Token B gönderilmezse sistem Token A'yı varsayılan olarak kabul edip işlemi onaylıyor" mantıksal hatasını sadece birkaç saat içinde otonom olarak keşfeder ve kanıtlar.

5. Sonuç: Neden Kurumunuz Ajan Tabanlı Güvenliğe Geçmeli?

Ajan tabanlı yapay zeka (Agentic AI) platformları, bir şirketin siber dayanıklılığını ölçeklendirmenin tartışmasız tek ve en ucuz yoludur. Geleneksel bir pentest firması, sisteminize yılda sadece 1 kez bakar. Fakat kodlarınız haftada bir değişir. Kodunuzdaki her değişimi manuel testlerle denetlemeye çalışmak astronomik bütçeler gerektirir.

Ajan Tabanlı (Agentic) Çözümlerle:

  • Sürekli Teslimat (CI/CD) süreçlerinize 7/24 uyanık kalan ve mantık çerçevesinde saldıran "Otonom Beyaz Şapkalı Hackerlar" entegre etmiş olursunuz.
  • İnsan gücünüzü tekrarlayan testlerle değil, ajanların bulduğu mimari düzeydeki tasarımsal zafiyetleri çözmekle değerlendirirsiniz.
  • Hem bütçeden tasarruf eder hem de yasal uyumluluk standartlarında (KVKK/GDPR/PCI DSS) çok daha derinlemesine bir güvenceye kavuşursunuz.

Sistemlerinizi düne ait sadece kural ezberleyen araçlarla değil, insan gibi düşünen ve makine gibi hızlı çalışan akıllı ajanlarla koruyun. Eresus Security'nin otonom analiz çözümleriyle tanışmak için ekibimizle iletişime geçin.