27 yıllık güvenlik açığını yapay zekâ buldu: Anthropic’ten dev güvenlik hamlesi

Yapay zekâ şirketi Anthropic, Project Glasswing adlı yeni girişimini duyurdu. Bu açıklama sıradan bir ürün tanıtımı değil. Şirket adeta küresel bir güvenlik alarmı verdi.

Project Glasswing, dünyanın en kritik yazılımlarındaki güvenlik açıklarını bulmayı hedefliyor. Bunun için büyük bir teknoloji ortaklığı kuruldu.

Projeye Apple, Amazon Web Services, Broadcom, Cisco, CrowdStrike, Google, Microsoft, NVIDIA ve Palo Alto Networks katıldı. Amaç, internetin temelini oluşturan yazılımları taramak, güvenlik açıklarını bulmak ve hızlıca kapatmak.

Claude Mythos sahneye çıktı

Duyurunun merkezinde yeni bir yapay zekâ modeli var: Claude Mythos Preview. Anthropic bu modeli herkese açmadı. Şirket bilinçli bir şekilde modeli gizli tuttu. Bunun nedeni ise oldukça basit.

Claude Mythos, test sırasında çok güçlü bir yetenek gösterdi. Model kendi başına binlerce kritik sıfır gün (zero-day) güvenlik açığı tespit etti. Bu açıklar büyük işletim sistemleri ve popüler web tarayıcılarında bulundu.

27 yıldır fark edilmeyen açık ortaya çıktı

Modelin bulduğu bazı hatalar oldukça dikkat çekici. Claude Mythos, güvenliğiyle bilinen OpenBSD işletim sisteminde uzaktan çökme yaratabilen bir açık keşfetti. Bu hata tam 27 yıl boyunca fark edilmeden kodun içinde kaldı.

Benzer bir durum video işleme kütüphanesi FFmpeg için de yaşandı. Yapay zekâ burada kritik bir hata buldu. İlginç olan şu: Otomatik test araçları bu kod satırını 16 yıl boyunca yaklaşık 5 milyon kez taradı, ama sorunu görmedi.

Claude Mythos ayrıca Linux çekirdeğindeki birkaç güvenlik açığını birleştirerek sistemi tamamen ele geçirebilen bir saldırı zinciri de kurdu.

Yapay zekâ saldırı araçlarına da dönüşebilir

Anthropic zaten güçlü yapay zekâ modelleriyle biliniyor. Şirket son dönemde özellikle karmaşık akıl yürütme ve programlama yeteneklerine odaklandı.

Bu çalışmalar sonucunda Claude Opus 4.5 ve Claude Sonnet 4.6 gibi modeller ortaya çıktı. Ayrıca bu modeller devasa bir 1 milyon token bağlam penceresi ile çalışıyor.

Ancak burada ciddi bir risk de var. Bir yapay zekâ güvenlik açığı bulabiliyorsa, aynı yöntem kötü niyetli kişiler tarafından da kullanılabilir. Geçmişte siber saldırı yapmak için yüksek teknik bilgi gerekiyordu. Yapay zekâ bu eşiği ciddi şekilde düşürebilir.

Teknoloji şirketleri ortak hareket ediyor

Anthropic bu yüzden farklı bir yol seçti. Şirket Mythos modelini herkese açmadı. Bunun yerine modeli 40’tan fazla güvenlik ortağına ve kritik altyapı geliştiricisine verdi. Amaç, savunma tarafının saldırganlardan önce harekete geçmesi.

Anthropic ayrıca projeye ciddi kaynak ayırdı. Şirket, Mythos kullanımı için 100 milyon dolara kadar kredi sağlayacağını açıkladı. Buna ek olarak açık kaynak güvenliği için 4 milyon dolar bağış yaptı.

Bu bağışlar Linux Foundation ve Apache Software Foundation gibi kuruluşlara gidecek.