Anthropic'in Claude Mythos Preview yapay zeka modeli ile Project Glasswing kapsamında keşfedilen siber güvenlik zafiyetleri ve yazılım koruması.
Posted inSiber Güvenlik & Ağ

Project Glasswing: AI, Siber Güvenliği Nasıl Yeniden Şekillendiriyor?

No Comments

Project Glasswing: Yapay Zeka Siber Güvenliği Nasıl Dönüştürüyor?

Geçtiğimiz ay başlatılan Project Glasswing, Anthropic’in artan yeteneklere sahip yapay zeka modelleri kritik yazılımlara karşı kullanılmadan önce dünya genelindeki en önemli yazılımları güvence altına alma çabasıdır. Bu iş birliği sayesinde, Anthropic ve yaklaşık 50 ortağı, Claude Mythos Preview modelini kullanarak dünyadaki en sistemik öneme sahip yazılımlarda on binden fazla yüksek veya kritik düzeyde güvenlik açığı tespit etti. Yazılım güvenliğindeki ilerleme eskiden yeni güvenlik açıklarının ne kadar hızlı bulunabildiğiyle sınırlıyken, şimdi yapay zeka tarafından bulunan çok sayıda güvenlik açığının ne kadar hızlı doğrulanabildiği, açıklanabildiği ve yamalanabildiğiyle sınırlıdır.

Bu makalede, Project Glasswing’in ilk haftalarında siber güvenlik için bu kritik zorluk hakkında edinilen dersleri ele alacağız. Mythos Preview’ın performansının ilk kamuya açık kanıtlarına, binlerce açık kaynak yazılım projesini tarama çabasının ilk sonuçlarına ve bu ilerlemenin günümüzdeki siber savunucuları için ne anlama geldiğine odaklanacağız. Ayrıca Project Glasswing’den sonra neler beklenebileceğini ve Mythos sınıfı modellerin gelecekte nasıl yayınlanacağını da değerlendireceğiz.

İlk Sonuçlarımız ve Model Performansı

Mythos Preview’ın Bulgularını Açıklama Yaklaşımımız

Yazılım endüstrisinin uzun süredir devam eden geleneği, yeni güvenlik açıklarını keşfedildikten 90 gün sonra veya yama çıktıktan yaklaşık 45 gün sonra açıklamaktır. Bu, son kullanıcıların bir saldırgan tarafından istismar edilmeden önce yazılımlarını güncellemeleri için zaman tanır. Anthropic’in Koordineli Güvenlik Açığı Açıklama politikası da bu yaklaşımı benimser. Bu durum, açıklanan güvenlik açıklarının yapay zeka modellerinin siber yeteneklerinin hızlanan sınırının gerisinde kaldığı anlamına gelir; zira şu anda ortakların Mythos Preview ile bulduğu tüm detayları son kullanıcıları riske atmadan açıklamak mümkün değildir. Bunun yerine, modelin performansına dair örnekler ve bugüne kadarki ilerlemeye ilişkin toplu istatistikler sunulmaktadır. Mythos Preview tarafından keşfedilen güvenlik açıkları için yamalar yaygın olarak dağıtıldığında, çok daha fazla ayrıntı sağlanacaktır.

Ortaklarımız ve Harici Test Edicilerden Kanıtlar

Project Glasswing’in ilk ortakları, internetin ve diğer temel altyapıların işleyişi için kritik öneme sahip yazılımları geliştirip sürdürmektedir. Kodlarındaki kusurları düzeltmek, bu yazılımlara bağımlı diğer birçok kuruluş ve dolayısıyla milyarlarca son kullanıcı için riski azaltır. Bir ayın sonunda, çoğu ortak kendi yazılımlarında yüzlerce kritik veya yüksek önem derecesinde güvenlik açığı bulmuş ve toplu olarak on binden fazlasını tespit etmiştir. Birçok ortak, hata bulma hızlarının on kattan fazla arttığını belirtmiştir. Örneğin, Cloudflare, kritik sistemlerinde 2.000 hata (400’ü yüksek veya kritik önemde) bulmuş ve Cloudflare ekibinin insan testçilerinden daha iyi değerlendirdiği bir yanlış pozitif oranına ulaşmıştır.

Bu durum, Mythos Preview’ın harici testçilerin deneyimi ve modelin son ek değerlendirmeleriyle de örtüşmektedir:

  • Birleşik Krallık Yapay Zeka Güvenlik Enstitüsü: Mythos Preview’ın, iki siber menzilini (çok adımlı siber saldırı simülasyonları) uçtan uca çözen ilk model olduğunu bildirmiştir.
  • Mozilla: Firefox 150’yi Mythos Preview ile test ederken 271 güvenlik açığı bulmuş ve düzeltmiştir; bu, Firefox 148’de Claude Opus 4.6 ile bulunanın on katından fazladır.
  • XBOW: Bağımsız bir güvenlik platformu olan XBOW, Mythos Preview’ın web exploit kıyaslama testinde ‘tüm mevcut modeller arasında önemli bir adım önde’ olduğunu ve ‘token-for-token bazında kesinlikle eşi benzeri görülmemiş bir hassasiyet’ sağladığını bildirmiştir.
  • ExploitBench ve ExploitGym: Modellerin exploit geliştirme yeteneklerini ölçmek için yakın zamanda yayınlanan iki akademik kıyaslama platformu, Mythos Preview’ı en güçlü performans gösteren model olarak ortaya koymuştur.

Daha genel olarak, yamalı yazılımların çok daha hızlı bir şekilde yayınlandığı görülmektedir. Palo Alto Networks’ün en son sürümü, normalden beş kat daha fazla yama içermiştir. Microsoft, yayınlayacakları yeni yama sayısının ‘bir süre daha artmaya devam edeceğini’ bildirmiştir. Oracle ise ürünleri ve bulut çözümlerindeki güvenlik açıklarını eskisinden kat kat daha hızlı bulup düzeltmektedir.

Mythos Preview, diğer güvenlik çalışmaları için de faydalı olduğunu kanıtlamıştır. Örneğin, Project Glasswing ortak bankalarından birinde, bir tehdit aktörünün müşterinin e-posta hesabını ele geçirip sahte telefon aramaları yapmasının ardından Mythos Preview, 1.5 milyon dolarlık dolandırıcılık amaçlı bir havaleyi tespit etmeye ve önlemeye yardımcı olmuştur.

Açık Kaynak Yazılımlardaki Bulgular

Son birkaç aydır Anthropic, internetin ve kendi altyapılarının çoğunu destekleyen binden fazla açık kaynak projesini taramak için Mythos Preview’ı kullanmaktadır. Şimdiye kadar Mythos Preview, bu projelerde yüksek veya kritik önemde olduğunu tahmin ettiği 6.202 güvenlik açığı bulmuştur (orta veya düşük önemde olduğunu tahmin ettikleri dahil toplam 23.019’dan). Bu yüksek veya kritik dereceli güvenlik açıklarından 1.752’si altı bağımsız güvenlik araştırma firması veya Anthropic tarafından dikkatlice değerlendirilmiştir. Bunların %90,6’sı (1.587) geçerli gerçek pozitif olarak kanıtlanmış ve %62,4’ü (1.094) yüksek veya kritik önemde olarak doğrulanmıştır. Bu, Mythos Preview’ın başka güvenlik açığı bulmasa bile, mevcut triyaj sonrası gerçek pozitif oranlarına göre açık kaynak kodunda yaklaşık 3.900 yüksek veya kritik önemde güvenlik açığı ortaya çıkaracağı anlamına gelir ki bu, Project Glasswing ortakları için bulduklarına ek bir sayıdır. Anthropic, açık kaynak kodunu bir süre daha taramaya devam etmeyi planladığı için bu sayının artması beklenmektedir.

Mythos Preview’ın tespit ettiği açık kaynak güvenlik açığına bir örnek, milyarlarca cihaz tarafından kullanılan, güvenliğiyle bilinen bir açık kaynak kriptografi kütüphanesi olan wolfSSL‘de bulunmuştur. Mythos Preview, bir saldırganın (örneğin) bir banka veya e-posta sağlayıcısı için sahte bir web sitesi barındırmasına olanak tanıyan sahte sertifikalar oluşturmasına izin veren bir exploit oluşturmuştur. Web sitesi, saldırgan tarafından kontrol edilmesine rağmen son kullanıcıya tamamen meşru görünürdü. Bu artık yamalanmış güvenlik açılığının (atanan CVE-2026-5194) tam teknik analizi önümüzdeki haftalarda yayınlanacaktır.

Yukarıda belirtildiği gibi, bu tür hataları düzeltme darboğazı, bunları triyaj etme, raporlama ve yamaları tasarlayıp dağıtma konusundaki insan kapasitesidir. Mythos Preview ile onları ilk etapta bulmak büyük ölçüde daha kolay hale gelmiştir. Anthropic, taranan açık kaynak güvenlik açıklarının farklı açıklama adımlarını gösteren bir kontrol paneli oluşturmuştur. Bu panel, tüm önem seviyelerindeki güvenlik açıklarını gösterir ve zaman içindeki ilerlemeyi izleyecektir. Her aşamada görülen keskin düşüş, güvenlik açıklarını doğrulamak ve düzeltmek için gereken insan çabasını yansıtmaktadır. Güvenlik açıklarını triyaj etme süreci yoğundur. İlk olarak, Anthropic veya çalıştığı harici güvenlik firmalarından biri, Mythos’un bulduğu sorunu yeniden üretir ve önem derecesini tekrar değerlendirir. Bir güvenlik açığının gerçek olduğu onaylandıktan sonra, mevcut düzeltmeler olup olmadığı kontrol edilir ve yazılımın bakıcılarına ayrıntılı bir rapor yazılır. Açık kaynak yazılımı sürdürmenin düzenli zorluklarına ek olarak, bakıcılar düşük kaliteli, yapay zeka tarafından oluşturulan hata raporlarının istilasıyla karşı karşıyadır. Hatta bazı bakıcılar, şu anda kapasite kısıtlamaları yaşadıklarını ve hatta yama tasarlamak için daha fazla zamana ihtiyaç duydukları için açıklama hızını yavaşlatmalarını istediklerini belirtmişlerdir (Ortalama olarak, Mythos Preview tarafından bulunan yüksek veya kritik önemde bir hatanın yamalanması iki hafta sürer). Bakıcıların isteği üzerine, bazen daha fazla değerlendirme yapmadan doğrudan hata açıklanmaktadır. Şu ana kadar 1.129 doğrulanmamış hata bildirilmiş olup, Mythos Preview bunların 175’ini yüksek veya kritik önemde olarak tahmin etmiştir. Anthropic, şu ana kadar bakıcılara 530 yüksek veya kritik önemde hata bildirdiğini tahmin etmektedir. Bu sayı, doğrudan açıklamalarda Claude’un önem derecesi değerlendirmesine ve varsa bakıcıların veya güvenlik ortaklarının değerlendirmesine dayanmaktadır. Aynı şekilde yüksek veya kritik önemde olduğu tahmin edilen ve en kısa sürede açıklanması hedeflenen 827 doğrulanmış güvenlik açığı daha bulunmaktadır. Bildirilen 530 yüksek veya kritik önemde hatanın 75’i yamalanmış ve bunların 65’i kamuya açık tavsiyeler almıştır. Yama sayısı üç nedenden dolayı hala nispeten düşüktür: Birincisi, Koordineli Güvenlik Açığı Açıklama politikası tarafından belirlenen 90 günlük pencerenin başındayız ve daha fazla yamanın yakında yayınlanması beklenmektedir. İkincisi, bazı güvenlik açıkları kamuya açık bir tavsiye olmadan yamalandığı için yamaları eksik sayıyor olabiliriz; bu durumlarda yamaları Claude kullanarak kendimiz taramaya bağımlıyız. Üçüncüsü, düşük yama hacmi gerçek bir sorunu yansıtmaktadır: Görece yavaş açıklama hızımızda bile Mythos Preview, zaten aşırı yüklenmiş bir güvenlik ekosistemine katkıda bulunmaktadır. Güvenlik açıklarını bulmanın göreceli kolaylığı ile bunları düzeltmenin zorluğu, siber güvenlik için büyük bir zorluk teşkil etmektedir. Bu zorluğun başarıyla üstesinden gelmek, yazılımımızı eskisinden çok daha güvenli hale getirecektir. Aşağıda, siber savunucuların nasıl uyum sağlayabileceğine dair bazı yollar tartışılmaktadır.

Siber Güvenliğin Yeni Bir Evresine Uyum Sağlamak

Mythos Preview’a benzer siber güvenlik becerilerine sahip modeller yakında daha geniş çapta kullanılabilir hale gelecektir. Bu modellerin üreteceği bulguların hacmini yönetmek için yazılım endüstrisi genelinde daha büyük bir çabaya açıkça ihtiyaç vardır. Halihazırda, bir güvenlik açığının keşfi, bunun için bir yamanın oluşturulması ve yamanın son kullanıcılar tarafından yaygın olarak dağıtılması arasında genellikle uzun bir gecikme yaşanmaktadır. Bu durum, saldırganların kritik yazılımları istismar etmeleri için önemli bir pencere bırakmaktadır. Mythos sınıfı modeller, güvenlik açıklarını bulmak ve istismar etmek için gereken süreyi ve maliyeti önemli ölçüde azaltarak, bu zaman gecikmeleriyle ilişkili riski artırmaktadır. Nihayetinde, Mythos sınıfı modeller, geliştiricilerin hataları dağıtılmadan önce yakalayarak çok daha güvenli yazılımlar oluşturmalarını sağlayacaktır. Ancak bu geçiş dönemi — güvenlik açıklarının hızla keşfedildiği ve yavaşça yamalandığı — yeni riskler sunmaktadır. Yazılım geliştiricileri ve kullanıcıları, bu risklere maruz kalmalarını azaltmak için şimdi harekete geçmelidir. Aşağıdaki tavsiyeler yeni değildir ve birçok araştırmacı (Anthropic dahil) şu anda daha iyi ve daha kalıcı çözümler üzerinde çalışmaktadır. Bu arada, temelleri doğru yapmak önemlidir:

  • Yazılım Geliştiricileri: Yama döngülerini kısaltmalı ve güvenlik düzeltmelerini mümkün olduğunca hızlı bir şekilde sunmalıdır. Kamuya açık yapay zeka modellerinin düşünceli kullanımı bu konuda yardımcı olabilir; Anthropic bu konuda araçlar geliştiriyor ve araştırmalarını paylaşıyor. Geliştiriciler ayrıca, güncellemeleri yüklemeyi mümkün olduğunca kolaylaştırarak kullanıcılarının yazılımlarını güncel tutmalarına yardımcı olmalıdır; mümkün olduğunca, bilinen güvenlik açıklarına sahip yazılımları hala çalıştıran kullanıcılara karşı daha ısrarcı olmalıdırlar.
  • Ağ Savunucuları: Yama test ve dağıtım sürelerini kısaltmalıdır. Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) ve Birleşik Krallık Ulusal Siber Güvenlik Merkezi (NCSC) gibi kuruluşlar tarafından belirlenen kritik kontroller, herhangi bir tek yamanın zamanında gelmesine bağlı olmaksızın güvenliği artırdığı için artık daha da önemlidir. Bunlar arasında ağların varsayılan yapılandırmalarını güçlendirmek, çok faktörlü kimlik doğrulamayı zorunlu kılmak ve tespit ve müdahale için kapsamlı günlükler tutmak gibi adımlar yer almaktadır.

Kamudan Erişilebilir Yapay Zeka Modelleriyle Siber Savunma Araçları

Birçok genel olarak mevcut model, Claude Mythos Preview kadar sofistike güvenlik açıklarını bulamasa veya bunları etkili bir şekilde istismar edemese bile, zaten çok sayıda yazılım güvenlik açığı bulabilir. Project Glasswing, diğer birçok kuruluşu bu genel olarak mevcut modellerle kendi kod tabanlarında harekete geçmeye teşvik etmiştir; Anthropic bunu çok daha kolay hale getirmek için çalışmaktadır. İlk olarak, Claude Kurumsal müşterileri için genel beta sürümünde Claude Security‘yi yayınlamıştır. Bu, ekiplerin kod tabanlarını güvenlik açıkları için taramalarına ve bunlar için önerilen düzeltmeler üretmelerine yardımcı olan bir araçtır. Lansmandan bu yana geçen üç hafta içinde, Claude Opus 4.7, 2.100’den fazla güvenlik açığını yamalamak için kullanılmıştır (bu, açık kaynak yamalamasından büyük ölçüde daha hızlıdır, çünkü işletmeler kendi kodlarını düzeltirken, açık kaynak düzeltmeleri genellikle koordineli açıklama yoluyla çalışan gönüllü bakıcılar gerektirir). Ayrıca, modellerini meşru siber güvenlik amaçları (güvenlik açığı araştırması, sızma testi ve kırmızı takım) için kullanan güvenlik profesyonellerinin siber kötüye kullanımı önlemek için tasarlanmış belirli önlemler olmadan bunu yapmalarına olanak tanıyan Siber Doğrulama Programı başlatılmıştır. Anthropic, Mythos Preview ile kendisinin ve ortaklarının kullandığı araçları, talep üzerine uygun müşterilerin güvenlik ekiplerine sunmaktadır. Amaç, kapsamlı kurulum gerektirmeden yüksek yetenekli genel modellerden en iyi performansı almayı çok daha kolay hale getirmektir. Bu sürüm şunları içerir:

  • Anthropic ve ortaklarının oluşturduğu ve paylaştığı beceriler (tekrarlanan işler için özel talimatlar);
  • Claude’un kod tabanını haritalamasına, tarama alt ajanlarını başlatmasına, bulgularını triyaj etmesine ve raporlar yazmasına yardımcı olan bir araç;
  • Kod tabanını haritalayarak olası saldırı hedeflerini belirleyen ve modelin çalışmasını buna göre önceliklendiren bir tehdit modeli oluşturucu.

Project Glasswing ortaklarından Cisco da, diğer savunucuların kendi kullandıklarına benzer bir değerlendirme sistemi oluşturmalarına yardımcı olmak için yakın zamanda Foundry Security Spec‘ini açık kaynak olarak yayınlamıştır.

Ekosistemi Desteklemek

Anthropic, Open Source Security Foundation’ın Alpha-Omega projesiyle bir ortaklık kurmuştur; bu, vakfın bakıcılara hata raporlarını işleme ve triyaj etme çabalarını destekleyecektir. Ayrıca, öncü model yeteneklerinin siber savunucuları en iyi şekilde nasıl destekleyebileceğine dair araştırmalar yayınlamaya devam edilmektedir. Ayrıca, araştırmacıların öncü yapay zeka modellerinin exploit geliştirme yeteneklerini zaman içinde takip etmelerini sağlayan iki yeni kıyaslama platformu olan ExploitBench ve ExploitGym‘in geliştirilmesini desteklemiştir. Harici Araştırmacı Erişim Programı aracılığıyla diğer yüksek kaliteli nicel kıyaslama platformlarının geliştirilmesi de desteklenmektedir. Son olarak, Claude for Open Source, bakıcıları ve katkıda bulunanları desteklemekte ve Anthropic, gelecekte kendisinin benimseyeceği herhangi bir açık kaynak paketini taramayı taahhüt etmektedir.

Project Glasswing İçin Sırada Ne Var?

Yapay zeka ilerlemesinin hızı, Mythos Preview kadar yetenekli modellerin yakında birçok farklı yapay zeka şirketi tarafından geliştirileceği anlamına gelmektedir. Şu anda, Anthropic dahil hiçbir şirket, bu tür modellerin kötüye kullanılmasını ve potansiyel olarak ciddi zararlara yol açmasını önleyecek kadar güçlü önlemler geliştirmemiştir. Bu nedenle Mythos sınıfı modeller henüz kamuya açık olarak yayınlanmamıştır. Ancak Project Glasswing’i başlatma nedeni de budur: Benzer yeteneklere sahip bir model, bu tür önlemler olmadan yayınlanırsa, dünyadaki hemen hemen herkesin kusurlu yazılımları istismar etmesi dramatik bir şekilde daha ucuz ve kolay hale gelecektir. Glasswing, en sistemik öneme sahip siber savunucuların asimetrik bir avantaj elde etmesine yardımcı olmaktadır. Ancak, mümkün olduğunca çok sayıda kuruluşun siber savunmalarını güçlendirmesine acilen ihtiyaç vardır. Anthropic, genel olarak mevcut modellerinin ve onlara eşlik eden yeni araçların, kaynakların ve araştırmaların bu kuruluşları siber güvenlik duruşlarını iyileştirmede destekleyeceğini ummaktadır. Sırada, ABD ve müttefik hükümetler dahil olmak üzere kritik ortaklarla Project Glasswing’i ek ortaklara genişletmek için çalışılacaktır. Ve yakın gelecekte, ihtiyaç duyulan çok daha güçlü önlemler geliştirildikten sonra, Mythos sınıfı modellerin genel bir yayınla sunulması beklenmektedir. Bu risklerin ötesinde, bize sunulan cesaret verici bir dünya var: önemli kodun bugünkünden çok daha iyi güçlendirildiği ve hacklemenin çok daha az yaygın olduğu bir dünya. Birçok engel var, ancak yine de Project Glasswing’in bizi oraya ulaştıracağına güvenilmektedir.

Comments

No comments yet. Why don’t you start the discussion?

    Bir yanıt yazın

    E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir