Anthropic, deneysel siber güvenlik odaklı yapay zeka modeli Claude Mythos Preview’ın, güvenlik girişimi Project Glasswing’in lansmanından bu yana 10.000’den fazla yüksek veya kritik öneme sahip yazılım güvenlik açığını ortaya çıkarmaya yardımcı olduğunu açıkladı; bu rakam siber güvenlik sektöründe şok etkisi yaratıyor.
Şirket, Mythos’un, kötü niyetli aktörler bunları istismar etmeden önce dünyanın en önemli yazılım sistemlerindeki güvenlik açıklarını belirlemek için büyük teknoloji firmaları ve altyapı kuruluşları da dahil olmak üzere yaklaşık 50 ortakla birlikte kullanıldığını açıkladı.
Anthropic’e göre, proje halihazırda işletim sistemlerinde, web tarayıcılarında, açık kaynak yazılımlarda, bulut altyapısında ve kritik kurumsal teknolojilerde binlerce ciddi güvenlik açığını ortaya çıkardı. Yapay zeka artık hataları insanların düzeltebileceğinden daha hızlı buluyor. Belki de duyurunun en endişe verici yönü, keşfedilen güvenlik açıklarının sayısı değil, hızıdır.
Anthropic, Mythos’un artık temel darboğazının güvenlik açığı keşfi değil, insan kapasitesinin bulguları doğrulamakta, raporları önceliklendirmekte, yama geliştirmekte ve düzeltmeleri dağıtmakta yetersiz kaldığı bir noktaya ulaştığını söylüyor.
Şirket, 1.000’den fazla açık kaynaklı projeyi taradı ve 23.019 güvenlik sorunu tespit etti. Bunların 6.202’si yüksek veya kritik öneme sahip güvenlik açıkları olarak sınıflandırıldı. Bağımsız güvenlik araştırmacıları, incelenen bulguların %90’ından fazlasını gerçek güvenlik açıkları olarak doğruladı. Bu durum, bazı uzmanların yazılım güvenliğinin temelden yeni bir çağa giriyor olabileceği konusunda uyarıda bulunmasına yol açıyor.
Project Glasswing: Savunma Amaçlı Yapay Zeka Girişimi
Anthropic, Nisan 2026’da, gelişmiş yapay zeka sistemlerinin yazılım güvenlik açıklarını otonom olarak keşfedebileceği bir geleceğe hazırlık amacıyla tasarlanmış, kısıtlı erişimli bir siber güvenlik programı olan Project Glasswing’i başlattı.
Katılımcılar arasında Amazon Web Services, Apple, Google, Microsoft, NVIDIA, Cisco, CrowdStrike, Palo Alto Networks ve Linux Vakfı yer alıyor. Amaç, benzer yeteneklere sahip yapay zeka sistemleri saldırganların kullanımına yaygınlaşmadan önce güvenlik açıklarını tespit etmek ve yamalamak olarak verildi.
Siber güvenlik için bir dönüm noktası
Güvenlik araştırmacıları, Mythos’u büyük bir yetenek sıçraması olarak tanımlıyor. Geleneksel güvenlik açığı tarayıcılarından farklı olarak, modelin kaynak kodunu analiz ettiği, düşük önem dereceli hataları bir araya getirdiği, istismar edilebilirliği değerlendirdiği ve bazı durumlarda çalışan istismar yolları oluşturduğu kaydediliyor.
Cloudflare, Mythos’un altyapısındaki binlerce hatayı ortaya çıkardığını ve daha önce mühendislik işlerinde gizli kalacak olan güvenlik açıklarını bulduğunu söyledi. Bazı araştırmacılar sistemi, modern otomatik yazılım testlerinin ortaya çıkışına benzer bir dönüm noktası olarak bile tanımladı.
Ancak bu duyuru, büyüyen bir sorunu da ortaya çıkardı. Güvenlik açıklarını bulmak, onları düzeltmekten daha kolay hale geliyor. Birçok rapor, keşfedilen güvenlik açıklarının yalnızca küçük bir kısmının şimdiye kadar yamalandığını belirtiyor. Bu, endişe verici bir olasılığı gündeme getiriyor. Yani yapay zeka, yakında yazılım zayıflıklarını kuruluşların bunları gidermesinden daha hızlı keşfedebilir.
Bazı siber güvenlik analistleri, geleneksel “yama penceresinin” yani savunucuların saldırganlar tarafından istismar edilmeden önce güvenlik açıklarını düzeltmek için sahip oldukları sürenin, artık ortadan kalkabileceğine dikkat çekiyor.
Hükümetler Alarmda
Etkileri o kadar ciddi ki, düzenleyicilerin ve hükümetlerin durumu yakından izlemeye başladığı bildiriliyor. Avrupa Merkez Bankası yakın zamanda yeni yapay zeka sistemlerinin ortaya çıkardığı güvenlik açıkları konusunda büyük bankalarla görüşmeler yaptı; Avrupa yetkililerinin ise kritik altyapı koruması için Mythos ile ilgili yeteneklere erişim aradığı bildiriliyor.
Bu arada, Pentagon, ABD hükümet sistemlerindeki uzun süredir var olduğu, çeşitli hacker saldırıları ile ortaya çıkan zayıf noktaları belirlemeye yardımcı olmak için Glasswing Projesi kapsamında Mythos’u kullanıma aldı.
Özetle bugünlerde en önemli endişe, savunma amaçlı yapay zeka ve saldırı amaçlı yapay zekanın eş zamanlı olarak gelişmesi. Anthropic’in argümanı esasen, kaçınılmaz bir şekilde, binlerce güvenlik açığını keşfedebilen gelişmiş yapay zeka sistemlerinin ortaya çıkacağı ve bu nedenle savunmacıların onlardan önce erişim sağlaması gerektiğini gösteriyor. Ancak eleştirmenler, bu tür yetenekler yayıldığında siber çatışmanın önemli ölçüde hızlanabileceği konusunda uyarıyor.
Bazı araştırmacılar, gerçek atılımın modelin kendisi değil, otonom olarak yazılım tarama, istismar zincirlerini test etme, saldırı yolları oluşturma ve güvenlik açığı keşfini makine hızında koordine etme yapabilen ajansal yapay zeka sistemlerinin ortaya çıkması olabileceğini düşünüyor.
Bu duyuru, öncü yapay zeka modellerinin sohbet botlarının ve verimlilik araçlarının ötesine ne kadar hızlı bir şekilde evrildiğini vurguluyor. Claude Mythos, konuşma asistanı olarak değil, aktif olarak güvenlik açıklarını avlayabilen özel bir siber ajan olarak sunuluyor.
Kaynak : 