AI ve Web3 entegrasyonu DeFAI'yi doğuruyor, güvenlikteki yeni zorluklar sektördeki ilgiyi artırıyor

Son günlerde, İstanbul Blockchain Haftası (IBW 2025) AI ve Web3'ün birleşim eğilimlerine odaklanarak bu yıl Web3 güvenliği tartışmaları için önemli bir platform haline geldi. İki gün süren etkinlikte, birçok sektör uzmanı AI teknolojisinin merkeziyetsiz finans (DeFi) içindeki uygulama durumu ve güvenlik zorlukları üzerine derinlemesine tartışmalarda bulundu.

Büyük dil modellerinin (LLM) ve AI ajanlarının hızlı gelişimi ile birlikte, merkeziyetsiz yapay zeka finansmanı (DeFAI) adlı yeni bir finansal model şekillenmeye başladı. Ancak bu yenilik, beraberinde tamamen yeni bir saldırı yüzeyi ve güvenlik tehditleri getirdi ve sektörde geniş çapta dikkat çekti.

Bir güvenlik şirketinin üst düzey yöneticisi şunları belirtti: "DeFAI geniş bir geleceğe sahip olmasına rağmen, merkeziyetsiz sistemlerdeki güven mekanizmalarını yeniden gözden geçirmemizi zorunlu kılıyor. Sabit mantığa dayalı akıllı sözleşmelerden farklı olarak, AI ajanlarının karar verme süreci bağlam, zaman hatta tarihsel etkileşimlerden etkileniyor. Bu öngörülemezlik sadece riski artırmakla kalmıyor, aynı zamanda saldırganlar için fırsatlar yaratıyor."

AI ajanları, esasen AI mantığına dayanarak bağımsız karar verme ve icra etme yeteneğine sahip akıllı varlıklardır ve genellikle kullanıcı, protokol veya DAO tarafından yetkilendirilerek çalıştırılırlar. En tipik temsilcisi AI ticaret robotudur. Şu anda çoğu AI ajanı Web2 mimarisi üzerinde çalışmakta olup, merkezi sunucular ve API'lere bağımlıdır ve bu da onları enjeksiyon saldırıları, model manipülasyonu veya veri değiştirme gibi tehditlere karşı savunmasız hale getirir. Bir kez ele geçirildiğinde, yalnızca mali kayıplara yol açmakla kalmaz, aynı zamanda tüm protokolün stabilitesini de etkileyebilir.

Uzmanlar, DeFi kullanıcılarının çalıştırdığı AI ticaret aracının ticaret sinyalleri olarak sosyal medya mesajlarını izlediği tipik bir saldırı senaryosunu da tartıştılar. Saldırganlar, "belirli bir protokol saldırıya uğradı" gibi sahte uyarılar yayınlayarak bu aracı hemen acil tasfiye başlatmaya teşvik edebilir. Bu tür bir işlem, kullanıcı varlıklarının kaybına yol açmakla kalmaz, aynı zamanda piyasa dalgalanmalarına neden olur ve sonrasında saldırganlar tarafından ön alım ticareti (Front Running) ile kullanılabilir.

Bu riskler doğrultusunda, katılımcı uzmanlar genel olarak AI ajanlarının güvenliğinin tek bir taraf tarafından üstlenilmemesi gerektiğini, bunun yerine kullanıcılar, geliştiriciler ve üçüncü taraf güvenlik kuruluşlarının ortak sorumluluğu olduğunu düşünüyor.

Kullanıcılar, temsilcinin sahip olduğu yetki alanını net bir şekilde anlamalı, yetkileri dikkatlice vermeli ve AI temsilcisinin yüksek riskli işlemlerini yakından takip etmelidir. Geliştiriciler, tasarım aşamasında savunma önlemleri uygulamalıdır, örneğin, ipucu güçlendirme, kum havuzu izolasyonu, hız sınırlama ve geri dönüş mantığı gibi mekanizmalar. Üçüncü taraf güvenlik şirketleri, AI temsilcisinin model davranışları, altyapısı ve zincir üzerindeki entegrasyon yöntemleri için bağımsız inceleme sağlamalı ve geliştiricilerle ve kullanıcılarla işbirliği yaparak riskleri tanımlamalı ve hafifletici önlemler önermelidir.

Bir güvenlik uzmanı uyardı: "Eğer AI ajanlarını 'kara kutu' olarak kullanmaya devam edersek, gerçek dünyada güvenlik kazalarının yaşanması sadece bir zaman meselesi." DeFAI yönünü keşfeden geliştiriciler için önerisi ise: "Akıllı sözleşmeler gibi, AI ajanlarının davranış mantığı da kodla gerçekleştirilir. Madem bu bir kod, saldırıya uğrama olasılığı var, bu nedenle profesyonel bir güvenlik denetimi ve sızma testi yapılması gerekmektedir."

Özellikle, IBW'nin Avrupa'nın en etkili blockchain etkinliklerinden biri olarak, dünya genelinden geliştiriciler, proje sahipleri, yatırımcılar ve düzenleyiciler toplamda 15,000'den fazla katılımcıyı bir araya getirdiği kaydedilmiştir. Bu yıl, Türkiye Sermaye Piyasası Kurulu (CMB) blockchain proje lisansını vermeye resmi olarak başladığında, IBW'nin sektördeki konumu daha da güçlenmiştir.