Yazılım dünyasının güvenlik mimarisi köklü bir değişimle karşı karşıya. Anthropic’in nisan ayında hayata geçirdiği Project Glasswing, geleneksel zafiyet tarama yöntemlerini saf dışı bırakabilecek bir kapasite sergiliyor. Henüz genel kullanıma sunulmayan Claude Mythos Preview modeli, siber güvenlik operasyonlarını otonom hale getirerek sadece bir aylık sürede 10.000’den fazla güvenlik açığını raporladı. Bu gelişme, siber savunmanın artık insan hızından makine hızına evrildiğinin en somut kanıtı.
Nasıl Çalışır? Rakamlarla Otonom Tehdit Avcılığı
Rakamlarla Otonom Tehdit Avcılığı Otonom saldırı güvenliği platformu XBOW tarafından da "büyük bir ilerleme" olarak nitelendirilen model, kaynak kodlarını bir güvenlik uzmanı zihniyetiyle analiz etme ve bu zafiyetleri uçtan uca saldırı zincirlerine dönüştürme konusunda inanılmaz bir başarı gösteriyor:
- Açık Kaynak Projeleri Mercek Altında: Şirket sadece kurumsal ortaklarla sınırlı kalmayıp, ekosistemin temel taşı olan 1.000 açık kaynak projeyi de mercek altına aldı. Taranan 23.019 hata adayı arasından yapılan adli analizler sonucunda 6.202'si yüksek veya kritik seviye olarak sınıflandırılırken, 1.094 adedinin kesin tehlike arz eden (valid true positive) zafiyetler olduğu doğrulandı.
- Endüstri Devlerinin Performans Karnesi: Özellikle Cloudflare gibi altyapı sağlayıcıları, Mythos sayesinde 2.000 hata tespit ederken, bunların 400’ünün yüksek veya kritik seviyede olduğu belirtildi. Mozilla tarafında ise Firefox tarayıcısında bulunan 271 açık, önceki modellerle yapılan taramalara kıyasla 10 kat daha verimli bir süreç işletildiğini gösteriyor.
- Kritik CVE Keşfi: Ünlü WolfSSL kütüphanesinde, saldırganların sertifika sahteciliği yapmasına ve meşru bir hizmet gibi davranmasına olanak tanıyan 9.1 CVSS skorlu kritik bir zafiyet (CVE-2026-5194) yine bu model tarafından avlandı.
Kişisel Not / Analiz: Adli Bilişimin ve AI Security'nin Yeni Sınavı
Bu raporda olay müdahale (Incident Response) pratiklerimizi en çok sorgulatacak kısım; modelin bir sistemde tam 27 yıldır bekleyen ve insan gözünden kaçan kritik bir mantık hatasını hiçbir yönlendirme olmadan bulabilmesidir.
Ayrıca model sadece kod taramıyor; raporlara göre, bir banka müşterisinin e-postalarının ihlal edilmesiyle başlatılan 1.5 milyon dolarlık sahte bir dolandırıcılık transferi de (spoof telefon aramaları dahil) Mythos tarafından anında tespit edilip engellenmiş. Bu durum yapay zekanın defansif alanda ne kadar devasa bir potansiyeli olduğunu gösteriyor.
Ancak madalyonun diğer yüzü oldukça tehlikeli. macOS gibi yüksek güvenlikli işletim sistemlerinde bile zafiyet bulabilen bu yapının kontrolsüz dağıtımı, siber suç oranlarını öngörülemez bir noktaya taşıyabilir. Kanada ve İngiltere gibi ülkelerin finans bakanlarının bu seviyedeki bir hacking kapasitesini finansal sistemlerin güvenliğini tehdit edebilecek bir “bilinmeyen” olarak tanımlaması boşuna değil. Modele şu an kötü niyetli kullanımı engelleyecek yeterli güvenlik bariyerleri (guardrails) eklenemediği için Anthropic erişimi şimdilik hükümetler ve kritik altyapı sağlayıcıları ile sınırlı tutuyor.
Çözüm ve Mitigasyon:
Yapay zekanın bu denli başarılı bir “hacker” olması, madalyonun diğer yüzünde müthiş bir fırsat barındırıyor; bu araçlar sayesinde internetin temelindeki zayıflıkları hızla yamamak mümkün hale gelecek. Microsoft’un son yama döngülerinin boyut olarak büyümesi, Mythos’un bulduğu açıkların hızla kapatılmaya başlandığının teknik bir göstergesi olarak okunabilir. Proaktif olarak alınması gereken önlemler şunlardır:
- Yama ve Test Döngülerini Kısaltın: Bulunan açıkların hacmi arttığı için, ağ savunmacıları test ve dağıtım (deployment) sürelerini acilen daraltmalı ve otomatize etmelidir.
- Cyber Verification Program Kullanımı: Tıpkı OpenAI'ın Daybreak programında (GPT-5.5-Cyber) olduğu gibi, Anthropic de "Cyber Verification Program" ile siber güvenlik uzmanlarına modellerini sızma testleri, Red Teaming ve zafiyet araştırmaları için kısıtlamasız kullanma imkânı sunuyor. Blue Team analistleri bu araçları defansif operasyonlarına acilen entegre etmelidir.
- Temel Güvenlik Sıkılaştırması: Otonom tehditle karşı karşıya kalındığında ağ varsayılan yapılandırmalarının (default configurations) sıkılaştırılması, Çok Faktörlü Kimlik Doğrulaması (MFA) kullanımının zorunlu kılınması ve tespit/müdahale için çok daha kapsamlı log tutulması artık opsiyonel değil, mecburidir.
