Gündem

Siber Savunmada Otonom Tehdit Avcılığı: Claude Mythos 1 Aylık Sürede 10.000 Zafiyet Tespit Etti

Anthropic'in yeni savunma odaklı sınır modeli Claude Mythos, "Project Glasswing" inisiyatifi kapsamında kritik küresel yazılım altyapılarında 10.000'den fazla güvenlik açığı buldu. İnsan müdahalesi olmadan 27 yıllık uyuyan zafiyetleri bile tespit edebilen bu yapay zeka modelinin kapasitesini, tespit ettiği kritik hataları ve sektörde yaratacağı paradigma değişimini inceliyoruz.

Siber Savunmada Otonom Tehdit Avcılığı: Claude Mythos 1 Aylık Sürede 10.000 Zafiyet Tespit Etti

Yazılım dünyasının güvenlik mimarisi köklü bir değişimle karşı karşıya. Anthropic’in nisan ayında hayata geçirdiği Project Glasswing, geleneksel zafiyet tarama yöntemlerini saf dışı bırakabilecek bir kapasite sergiliyor. Henüz genel kullanıma sunulmayan Claude Mythos Preview modeli, siber güvenlik operasyonlarını otonom hale getirerek sadece bir aylık sürede 10.000’den fazla güvenlik açığını raporladı. Bu gelişme, siber savunmanın artık insan hızından makine hızına evrildiğinin en somut kanıtı.

Nasıl Çalışır? Rakamlarla Otonom Tehdit Avcılığı

Rakamlarla Otonom Tehdit Avcılığı Otonom saldırı güvenliği platformu XBOW tarafından da "büyük bir ilerleme" olarak nitelendirilen model, kaynak kodlarını bir güvenlik uzmanı zihniyetiyle analiz etme ve bu zafiyetleri uçtan uca saldırı zincirlerine dönüştürme konusunda inanılmaz bir başarı gösteriyor:

Kişisel Not / Analiz: Adli Bilişimin ve AI Security'nin Yeni Sınavı

Bu raporda olay müdahale (Incident Response) pratiklerimizi en çok sorgulatacak kısım; modelin bir sistemde tam 27 yıldır bekleyen ve insan gözünden kaçan kritik bir mantık hatasını hiçbir yönlendirme olmadan bulabilmesidir.

Ayrıca model sadece kod taramıyor; raporlara göre, bir banka müşterisinin e-postalarının ihlal edilmesiyle başlatılan 1.5 milyon dolarlık sahte bir dolandırıcılık transferi de (spoof telefon aramaları dahil) Mythos tarafından anında tespit edilip engellenmiş. Bu durum yapay zekanın defansif alanda ne kadar devasa bir potansiyeli olduğunu gösteriyor.

Ancak madalyonun diğer yüzü oldukça tehlikeli. macOS gibi yüksek güvenlikli işletim sistemlerinde bile zafiyet bulabilen bu yapının kontrolsüz dağıtımı, siber suç oranlarını öngörülemez bir noktaya taşıyabilir. Kanada ve İngiltere gibi ülkelerin finans bakanlarının bu seviyedeki bir hacking kapasitesini finansal sistemlerin güvenliğini tehdit edebilecek bir “bilinmeyen” olarak tanımlaması boşuna değil. Modele şu an kötü niyetli kullanımı engelleyecek yeterli güvenlik bariyerleri (guardrails) eklenemediği için Anthropic erişimi şimdilik hükümetler ve kritik altyapı sağlayıcıları ile sınırlı tutuyor.

Çözüm ve Mitigasyon:

Yapay zekanın bu denli başarılı bir “hacker” olması, madalyonun diğer yüzünde müthiş bir fırsat barındırıyor; bu araçlar sayesinde internetin temelindeki zayıflıkları hızla yamamak mümkün hale gelecek. Microsoft’un son yama döngülerinin boyut olarak büyümesi, Mythos’un bulduğu açıkların hızla kapatılmaya başlandığının teknik bir göstergesi olarak okunabilir. Proaktif olarak alınması gereken önlemler şunlardır:

Author

AltaySec Medya

Siber güvenlik operasyonları ve Red Team kültürü içerisinde bilgi yönetimi yapan çekirdek yayın ekibi. #OffensiveKnowledge