AI Siber Güvenlik Girişimleri: Exaforce, Vega ve Tenex’in Yatırım Turları

Yapay zeka destekli savunma teknolojileri üreten girişimler, son aylarda risk sermayesinin en sıcak köşesi haline geldi. Exaforce, Vega Security ve Tenex gibi ai siber güvenlik girişim örnekleri art arda dokuz haneli turlar kapatırken değerlemeler bir milyar doları zorluyor. Bu yazı son altı ayın öne çıkan turlarını, anlamını ve sektör dinamiklerini sade bir dille aktarıyor.

Sektör, klasik tehdit istihbaratı yazılımlarının ötesine geçen, otonom karar verme yeteneğine sahip ürünler üreten oyunculara odaklanmış durumda. Saldırı yüzeyini gerçek zamanlı tarayan, alarm gürültüsünü filtreleyen ve müdahale aksiyonlarını insan onayı beklemeden tetikleyen sistemler, kurumsal alıcıların güvenlik operasyon merkezi yorgunluğuna çözüm olarak sunuluyor. Yatırımcı tarafı ise üretken modellerin saldırgan kapasitesini artırdığı tezi üzerinden klasik savunma bütçelerinin çok hızlı büyüyeceğini öngörüyor. Yazının kaynak omurgasını uluslararası finans basını oluşturuyor; her tur için birincil haberin bağlantısı metin içinde verildi.

Exaforce’un 125 Milyon Dolarlık B Turu ve Gerçek Zamanlı Savunma Tezi

Bay Area merkezli Exaforce, B serisi turda 125 milyon dolar topladı ve şirket değeri 725 milyon dolar seviyesine çıktı. Tur Mayıs ortasında duyurulan en dikkat çekici ai siber güvenlik girişim hareketlerinden biri oldu. Şirketin tezi, saldırıyı gerçekleştiği anda otonom olarak yakalayıp durdurmak. Klasik EDR (uç nokta tespiti ve müdahalesi) ürünleri imza tabanlı kuyrukla çalışırken, Exaforce büyük dil modellerine bağlı bir akış işleme katmanı üzerine kuruluyor.

Ürünün ana iddiası, güvenlik analistinin haftalık alarm yığınını yüzde doksan oranında küçültmek. Şirket yöneticileri, alıcıların artık tek tek tehdit avı yeteneğinden çok, uçtan uca otonom oynaklık istediğini söylüyor. Bu sebeple raundun büyük kısmı saha mühendislik ekibinin büyütülmesine ve büyük kurumsal sözleşmelerin teknik entegrasyon süresinin kısaltılmasına gidecek.

Konuya geniş bir çerçeveden bakmak isteyenler için savunma hattı yatırımı kümesi üretken modelin saldırı ekonomisini nasıl tetiklediğini anlatıyor. Exaforce’un raundunu detayıyla aktaran birincil kaynak ise TechCrunch’ın Exaforce B serisi haberi olarak yayında kaldı. Şirket aynı zamanda federal kurumlarla pilot konuşmalar yürüttüğünü açıkladı; bu Washington kanalı, ileride değerlemenin bir milyar doları aşmasında belirleyici olabilir. Yatırımcı tablosunun başında Mayfield ve Khosla Ventures gibi geç aşama uzmanı isimler bulunuyor; bu fonların portföy disiplini, ürünün sektörel olgunluğu hakkında dolaylı bir sinyal anlamına geliyor. Şirket önümüzdeki dönemde Birleşik Krallık ve Avustralya pazarlarında resmi varlık açacağını duyurdu, bu da kurumsal sözleşme tabanını coğrafi olarak çeşitlendirme stratejisinin bir parçası.

Vega Security’nin 700 Milyon Dolarlık Değerleme Sıçraması

Vega Security, şubat ayında 120 milyon dolarlık B serisini 700 milyon dolar değerleme üzerinden kapatarak toplam yatırımı 185 milyon dolara taşıdı. Girişim, kurumsal müşterilerin tehdit tespit yığınını yeniden inşa eden bir yaklaşım sunuyor: ham olay akışını veri ambarına yazmadan önce model tabanlı bir önceliklendirme katmanından geçiriyor. Bu sayede SIEM (güvenlik bilgi ve olay yönetimi) maliyetlerinin önemli bir bölümü ortadan kalkıyor.

Şirketin teknik liderliği, Mandiant ve CrowdStrike kökenli isimlerden oluşuyor. Bu profil, alıcıların aşina olduğu bir mimari diliyle konuşulmasını sağladığı için satış döngüsünü hızlandırıyor. Vega’nın iddiası, geleneksel kural motorlarının üretken saldırgan karşısında geçersiz kaldığı yönünde. Üretken modeller, fishing (oltalama) metnini her saldırıda baştan yazabildiği için imza tabanlı tespit anlamsızlaşıyor; Vega bu boşluğu davranışsal model ile dolduruyor.

Vega’nın raundunu geniş şekilde aktaran TechCrunch’ın kurumsal tehdit tespiti analizi şirketin kurumsal sözleşme büyüklüğünün hızlı arttığına dikkat çekiyor. Bir başka kümede ele alınan otonom soc tehdit avı başlığı, Vega ile aynı kategoriyi paylaşan oyuncuların ürün stratejisini karşılaştırmalı incelemekte. Şirketin yıllık tekrarlayan gelirinin son altı ayda iki katına çıktığı, sektör kaynaklarınca paylaşılan rakamlar arasında. Vega ekibi, depolama maliyetinin Snowflake veya BigQuery üzerinde nasıl ezildiğini gösteren teknik vakaları satış sürecinin merkezine koyuyor; alıcı CISO’lar bu maliyet kalemini ürün kararının birinci etkeni olarak işaretliyor.

Tenex.ai’nin Google Ortaklığı ve Bir Milyar Dolar Eşiği

↑ Başa dön

Bloomberg’in mart sonunda duyurduğu habere göre Tenex.ai, 250 milyon dolarlık bir yatırım turunu bir milyar doları aşan bir değerleme üzerinden kapadı. Şirket, Google’ın yönetilen güvenlik servisi tarafıyla resmi ortaklık ilişkisi içinde; Mandiant entegrasyonu sayesinde Google Cloud üzerinde çalışan kurumsal yüklerin telemetrisine doğrudan erişebiliyor. Bu, küçük güvenlik girişimlerinin hayalini kurduğu türden bir dağıtım avantajı.

Tenex’in farkı, sadece tespit ya da müdahale değil, “yönetilen tespit ve müdahale” hizmetini yapay zeka ajanlarına devretmek. Klasik MDR sağlayıcıları yüzlerce analist çalıştırırken Tenex, on kişilik bir uzman ekibin yüz binlerce uç noktaya bakmasını mümkün kılan bir orkestrasyon katmanı sunuyor. Bu yapı, hizmet marjını yazılım marjına yaklaştırıyor; yatırımcının iştahını açan kalem de tam olarak burada.

Turun ayrıntılarını Bloomberg’in Google ortaklı güvenlik haberi aktarmıştı. Şirketin önümüzdeki dönemdeki ana sınavı, hizmet kalitesi kaybı yaşamadan müşteri sayısını birkaç kat büyütmek. Eğer bu denklemi tutturursa, halka açık SaaS güvenlik şirketleri için ciddi bir referans noktası olabilir.

Xbow ve Otomatik Sızma Testi Cephesi

Mart ortasında Bloomberg, Xbow’un 120 milyon dolarlık turunu bir milyar doları aşan bir değerleme üzerinden kapadığını duyurdu. Xbow, sızma testi otomasyonu üzerine kurulu bir AI ajan platformu işletiyor. Şirketin ürünü, bir saldırgan zihniyetiyle hedefin kod tabanını ve dış servislerini gece gündüz tarayan otomatik bir kırmızı takım gibi çalışıyor.

Eski model bug bounty (hata ödülü) süreçleri, yüzlerce serbest araştırmacının elle çalışmasıyla yürüyordu. Xbow’un yaklaşımı, bu işin önemli bir kısmını AI ajanlarına devretmek; insan araştırmacılara ise yalnızca yüksek dereceli bulguların doğrulanması ve sömürü zincirinin oluşturulması kalıyor. HackerOne ve Bugcrowd gibi mevcut pazaryerleri için bu, ciddi bir tehdit denklemi.

Tur haberini Bloomberg’in Xbow değerleme analizi başlığı altında okuyabilirsiniz. Sektörün diğer otomatik penetrasyon test girişimleri, fiyatlama tarafında baskı altına girmiş durumda. Müşteri, sürekli çalışan bir AI ajan için aylık kira ödemeyi, yılda birkaç gün gelen sertifika tabanlı sızma testi raporlarına tercih etmeye başladı. Xbow’un kurucu ekibi, daha önce GitHub’ın güvenlik biriminde çalışmış mühendislerden oluşuyor ve şirketin teknik vitrinine bu kıdem ciddi bir güven payı katıyor. Ürünün liderlik tahtasında, kamu açıklamalı CVE veritabanı üzerinde otomatik sömürü zincirleri kurabilen örnek vakalar düzenli olarak sergileniyor; bu canlı gösteri kurumsal pilot süreçlerinin satış kapanışını hızlandıran tek başına bir etken.

75’i Aşkın Siber Unicorn’un Piyasa Anlamı

Sektör analistleri, dünya genelinde 75’in üzerinde siber güvenlik unicorn’u bulunduğunu raporluyor; bu sayı son iki yılda yüzde kırk dolayında bir artışa karşılık geliyor. Genel risk sermayesi havuzu içinde 119 milyar dolarlık bir akış gerçekleşti ve 820’yi aşkın finansman anlaşması içinde siber güvenlik kategorisinin payı 21 milyar dolar seviyesine çıktı. Bu rakamlar, sektörün yalnızca büyümediğini, aynı zamanda yatırımcı portföylerinde de orantısız bir ağırlık kazandığını gösteriyor.

Rakamların arkasındaki mekanizma basit: üretken modellerin saldırı tarafında işi kolaylaştırması, alıcı kurumların savunma bütçelerini hızla şişirmesi. Yatırımcı, bu döngünün yakın gelecekte yavaşlamayacağını varsayıyor. DarkReading ve diğer sektör yayınları, AI destekli güvenlik turlarının sayısının patlayıcı bir hızda arttığını ve geç aşama değerlemelerin SaaS klasik çarpanlarını geride bıraktığını yazdı.

• Birleşme ve satın alma kanalı: Büyük platformlar (Palo Alto, CrowdStrike, Microsoft) ai siber güvenlik girişim satın alarak teknik açığını kapatmaya çalışıyor.
• Halka arz kanalı: Geç aşama değerlemenin bir milyar doları aştığı şirketler için Wall Street penceresinin önümüzdeki dönem aralanması bekleniyor.
• Servis sağlayıcı kanalı: Yönetilen güvenlik hizmeti şirketleri, AI ajan platformlarını kendi marka kimliği altında müşteriye aktararak yeni bir gelir kanalı açıyor.
• Devlet kanalı: Federal alıcılar ve ulusal savunma teşkilatları, sertifikasyon engellerini hızla kaldırarak yerli AI güvenlik tedarikçilerine yöneliyor.

OpenAI’ın Promptfoo Satın Alması ve AI Ajan Güvenliği

↑ Başa dön

Mart başında CNBC, OpenAI’ın Promptfoo şirketini bünyesine kattığını duyurdu. Promptfoo, üretken model uygulamalarının kırmızı takım test sürecini standartlaştıran açık kaynak bir araç olarak biliniyordu. Bu satın alma, AI ajan güvenliği başlığının artık ana akım model sağlayıcıları tarafından da ciddi bir hat olarak görüldüğünü gösteriyor.

Anlaşmanın stratejik anlamı çift yönlü. Birinci yönü, OpenAI gibi büyük model sağlayıcının ajan güvenliği denetimi piyasasına doğrudan giriş yapması ve bu alandaki bağımsız girişimlerin pazar payını sıkıştırması. İkinci yönü ise kurumsal alıcının modeli üreten ve modeli test eden firmanın aynı çatı altında olmasından duyduğu rahatsızlık. Bu rahatsızlık, üçüncü taraf bağımsız test laboratuvarlarına olan talebi paradoksal biçimde artırabilir.

Kümeler arasında anthropic mythos başlığı, model sağlayıcı şirketlerin güvenlik tarafındaki konumlanmasını ayrıntılı işliyor. Bu hattaki gelişmeler, ai siber güvenlik girişim oyuncularının önümüzdeki dönem stratejisini doğrudan etkileyecek.

Anthropic’in Bir Trilyon Dolar Değerleme Tartışması

Mayıs sonunda CNBC, Anthropic’in en değerli AI girişimi konumuna yükselerek bir trilyon dolar değerleme aralığına ulaştığını yazdı. Bu rakam, model sağlayıcıların değerleme tavanını tek başına yeniden tanımlayan bir veri noktası. Siber güvenlik girişimleri için doğrudan bir etkisi var: kurumsal alıcı, Anthropic veya OpenAI gibi sağlayıcılarla doğrudan çalışmak ile aracı bir güvenlik girişimi üzerinden hizmet almak arasında bir tercih yapacak.

Bu noktada “Valley of Death” tartışması gündeme geliyor. Tez şu: AI bağımsız üretici niteliği olmayan, yalnızca büyük modellerin üzerine ince bir katman örten girişimler, model sağlayıcının doğrudan ürün çıkarmasıyla buharlaşma riski taşıyor. Vega ve Exaforce gibi şirketlerin önündeki gerçek sınav, model sağlayıcının asla yapmayacağı kadar derin operasyonel entegrasyona girebilmek.

Diğer yatırım hattıyla kıyaslama isteyenler için detaylı rehberimiz başlığı, AI girişim sermayesinin başka bir cephesinin nasıl şişip kasıldığını ele alıyor. Risk sermayesi haritasının bütününü görmek için siber yatırım haberleri sayfasında genel akış takip edilebilir.

Erken Aşama Tohum Turları ve 45 Milyon Dolarlık Post-Money

Geç aşama turların görkemi, erken aşama tarafındaki sıkışıklığı gizlememeli. AI siber güvenlik kategorisinde yeni kurulan şirketler, tohum turunu 40-45 milyon dolar post-money değerleme üzerinden kapatıyor. Bu, beş yıl öncesine göre yaklaşık dört kat şişkin bir rakam. Yatırımcı tarafı bu primi, sınırlı sayıdaki nitelikli mühendislik ekibi için ödüyor.

Bu enflasyon, iki problem yaratıyor. Birincisi, sonraki turlarda değerlemenin sürdürülmesi için çok hızlı gelir büyümesi gerekiyor; aksi halde aşağı yönlü tur (down round) kaçınılmaz oluyor. İkincisi, kurumsal alıcı bu fiyatlama baskısının ürün marjına yansıdığını farkettiği an, daha ucuz alternatifleri tercih etmeye başlıyor. Tohum aşamasında 45 milyon dolar değerleme alan girişimin, üç tur sonra bir milyar dolar eşiğini geçmesi matematiksel olarak mümkün olsa da operasyonel olarak son derece zor.

Türkiye Siber Güvenlik Girişimlerinin Yerel Tablodaki Konumu

↑ Başa dön

Yerli oyuncular tarafına geçtiğimizde, Türkiye’de faaliyet gösteren siber güvenlik girişimlerinin önündeki temel mesele yetenek havuzu ve yurt dışı dağıtım kanalı. Yerel pazarın hacmi, dokuz haneli turlar kapatabilmek için gereken müşteri tabanını tek başına oluşturamıyor. Bu sebeple başarılı yerli girişimler erken aşamada Birleşik Krallık veya Birleşik Arap Emirlikleri merkezli bir holding üzerinden uluslararası yapılanmaya geçiyor.

Yerli ekosistem için belirleyici bir başka başlık, kamu alıcısının AI tabanlı tedarikçilere ne kadar açık olduğu. Sertifikasyon süreçleri, klasik imza tabanlı ürünler için yıllar içinde olgunlaştığı kadar AI ajanları için olgunlaşmadı. Modelin karar verme zincirinin denetlenmesi, bağımsız değerlendirme laboratuvarlarının yetkinliği, kişisel veri koruma kanunuyla uyum gibi hatlarda hâlâ açık sorular var.

Yerli girişim yatırımcılarının önündeki fırsat, küresel oyuncuların kapsamadığı dikey alanlarda derinleşmek olabilir. Stratejik altyapı, telekom omurgası, enerji dağıtım operatörleri ve finansal hizmetler bu listenin başında geliyor. Yerel düzenleyici ile sıkı ilişki kuran, sertifikasyon sürecini hızlı sonuçlandıran ekiplerin küresel rakipler karşısında doğal bir koruma kalkanı oluşması mümkün. Tabloda öne çıkan turları kısa bir karşılaştırma ile aktarmak mümkün:

Türkiye merkezli girişimlerin bu tabloya benzer turlar kapatabilmesi için iki ön koşul gerekiyor: küresel müşteriye doğrudan satış yapabilen bir ticari ekip ve Birleşik Devletler ya da Avrupa merkezli bir bilim danışmanlığı. Bu iki kanal kapalı kaldığı sürece, yerli ai siber güvenlik girişim oyuncularının dokuz haneli turlara erişimi gecikecek.

Sıkça Sorulan Sorular

AI siber güvenlik girişimleri klasik güvenlik şirketlerinden nasıl ayrışıyor?

Temel fark, kural tabanlı motor yerine üretken modelin operasyon merkezi içine yerleştirilmesinde. Klasik şirketler alarm üretip analiste yığar; AI tabanlı girişimler bu alarmları önceliklendirir, çoğunu otonom kapatır ve insan analistin önüne yalnızca yüksek dereceli vakaları getirir.

Bir milyar dolar değerleme bu kategori için aşırı mı?

Karşılaştırılabilir SaaS çarpanlarıyla bakıldığında değerlemeler iddialı görünüyor. Buna karşın alıcı kurumun yıllık güvenlik bütçesindeki büyümeyi ve klasik MDR maliyetlerinin AI ajana göre 5-10 kat yüksek olmasını dikkate aldığınızda, çarpanların önümüzdeki dönem yerine oturma ihtimali yüksek.

Yatırımcı için en büyük risk hangisi?

Başlıca risk, model sağlayıcının doğrudan ürün çıkararak ara katmanı buharlaştırması. Vega ve Exaforce gibi şirketlerin derin operasyonel entegrasyon kurması bu sebeple belirleyici. İkinci risk, kurumsal alıcının AI ajanın aldığı kararı denetleyebilirlik talebi karşısında ürünün kapanması.

Türkiye’den küresel bir oyuncu çıkar mı?

Mümkün ancak doğrudan yerli pazardan büyüyerek değil. Erken aşamada uluslararası yapılanmaya geçen, bilim danışmanlığını yurt dışı isimlerle güçlendiren ve Birleşik Devletler tarafında satış ofisi kuran yerli girişimlerin küresel turlara erişme şansı var. Stratejik altyapı dikeyi en uygun başlangıç noktası gibi duruyor.

Editör notu: Bu yazıda yer alan yatırım tutarları, değerlemeler ve şirket bilgileri Bloomberg, TechCrunch ve CNBC gibi yabancı otoriteli kaynaklara dayandırılmıştır. Aktarılan değerlendirmeler kişisel gözlemdir, kesin öngörü içermez. Bu yazı yatırım tavsiyesi değildir, bilgilendirme amaçlıdır. Sektördeki yeni turlar duyuruldukça ilgili kümelerde güncellemeler yapılacaktır. — Mehmet Kara, Teknoloji Editörü