Anthropic'in yeni yapay zekası 27 yıllık hatayı buldu, siber savunmada yapısal değişimi zorluyor

Anthropic'in Mythos Preview modeli liderliğindeki bir grup yapay zeka modeli, teknoloji endüstrisinin savunmasını altüst edecek ölçekte güvenlik açıkları keşfediyor. Bu durum, modelin OpenBSD işletim sisteminde 27 yıl boyunca fark edilmeden kalan bir hatayı yakın zamanda keşfetmesiyle daha da belirginleşti. Bu yetenek, bir açığın keşfinden silahlandırılmasına kadar geçen sürenin aylardan dakikalara inmesiyle siber güvenlikte yapısal bir değişime işaret ediyor.

Corridor Baş Güvenlik Sorumlusu ve Facebook'un eski güvenlik müdürü Alex Stamos, "LLM'ler artık hata bulma konusunda insan yeteneğini geride bıraktı" dedi. 2025'in sonlarında gelişmiş modellerin piyasaya sürülmesini takiben AI tarafından bulunan yüksek kaliteli açık sayısındaki artış, bazılarının tüm yazılım yamalama yaşam döngüsüne meydan okuyan bir "hata armageddonu" (bug armageddon) olarak adlandırdığı durumu yarattı.

Rakamlar savunmacılar üzerindeki baskıyı açıkça ortaya koyuyor. Hata ödül platformu HackerOne, bildirimlerin geçen yıla göre yüzde 76 arttığını bildirirken, bir açığı düzeltmek için geçen ortalama süre 160 günden 230 güne fırladı. Öte yandan, Anthropic'in savunma koalisyonundaki ortağı Palo Alto Networks, en hızlı AI destekli saldırıların artık ilk erişimden veri sızdırmaya kadar geçen süreyi sadece 25 dakikaya indirdiğini bildiriyor; bu, genellikle günlerle veya haftalarla ölçülen geleneksel kurumsal yama döngülerinin yetişemeyeceği bir hız.

Saldırı ve savunma arasındaki bu büyüyen asimetri, internetin temel katmanları için doğrudan bir risk oluşturuyor. İşletim sistemlerinden finansal hizmetlere kadar dünyanın dijital altyapısının çoğu, şu anda yapay zeka tarafından oluşturulan hata raporlarının saldırısı altında olan küçük, genellikle gönüllü ekipler tarafından sürdürülen açık kaynaklı yazılımlar üzerine kurulu. Risk, daha önce göz ardı edilen veya önemsiz görülen yazılımların birincil saldırı vektörü haline gelmesidir.

Açık Keşfi ve Yamalama Arasındaki Uçurum Büyüyor

Kritik altyapıyı sürdüren geliştiricilerin deneyimleri bu değişimi örnekliyor. 30 yıllık cURL veri aktarım aracının lider geliştiricisi Daniel Stenberg, 2025 yılında AI tarafından oluşturulan sahte hata raporlarının ekibini boğduğunu gördü. Ancak 2026'nın başlarında kalite tersine döndü. Yılın henüz üçüncü ayında ekibi, büyük ölçüde AI destekli araştırmacıların yüksek kaliteli raporları sayesinde, önceki iki yılın toplamından daha fazla meşru güvenlik açığını düzeltti.

Bu hızlanma, benzeri görülmemiş bir zorluk yaratıyor. Sysdig CISO'su Sergej Epp, çöken zaman çizelgesini görselleştirmek için bir "Sıfır Gün Saati" oluşturdu. Sekiz yıl önce, bir hatanın kamuya açıklanması ile bir saldırı arasındaki ortalama süre 847 gündü. 2025'te bu süre 23 güne düştü. Bu yıl ise çoğu bir gün içinde istismar ediliyor. Bulut Güvenliği İttifakı (CSA), güvenlik kuruluşlarının "yamaları uygulama ve AI tarafından keşfedilen açıklara, istismarlara ve otonom saldırılara yanıt verme ihtiyacı altında ezilebileceği" konusunda uyarıyor.

Glasswing Projesi Savunma Hattı Oluşturuyor

Yanıt olarak Anthropic; Microsoft, Google, Amazon Web Services, Cisco ve Linux Vakfı dahil olmak üzere yaklaşık 50 teknoloji şirketinden oluşan bir koalisyon olan Project Glasswing'i kurdu. Girişim, bu ortaklara henüz yayınlanmamış Mythos Preview modeline erişim sağlayarak, kötü niyetli aktörler bunları istismar etmeden önce kendi sistemlerindeki kusurları bulmalarına ve düzeltmelerine olanak tanıyor. Anthropic, yüksek kötüye kullanım potansiyelini gerekçe göstererek modelin halka açık bir sürümü için planları olmadığını belirtti.

Linux çekirdeğini güvence altına almaya yardımcı olmak için modeli deneyen Linux Vakfı CEO'su Jim Zemlin, "Bu bakıcılar yapay zekadan önce de zaten aşırı çalışıyorlardı. Bu sadece hayatlarını çok daha iyi hale getiriyor" dedi.

Pentagon'un, Anthropic'i hükümetten teknolojisini otonom silahlar için kullanmamasını talep etmesi nedeniyle "tedarik zinciri riski" olarak etiketlemesiyle bu hamle tartışmalara yol açtı; Anthropic bu karara itiraz ediyor. Yine de koalisyonun kurulması, teknolojinin çift kullanımlı doğasını vurguluyor. Modeller savunma için kullanılabilse de yetenekler kaçınılmaz olarak yayılacaktır. Güvenlik korkuluklarını kaldırmak için herkes tarafından değiştirilebilen en gelişmiş açık ağırlıklı modellerin, Mythos gibi tescilli modellerin bir yıldan daha az gerisinde olduğu tahmin ediliyor.

Bu gelişme yazılım endüstrisinde endişeye yol açarken, bazı siber güvenlik şirketlerinin hisseleri bu haberle düştü. Yatırımcılar için temel risk, herhangi bir yazılım şirketinin değerinin kısmen güvenlik duruşuna bağlı olmasıdır. Yapay zeka, istismar bulma maliyetini önemli ölçüde düşürürken, önemli miktarda eski koda sahip olan veya yetersiz kaynaklara sahip açık kaynaklı projelere bağımlı olan şirketler, risk profillerinin yeniden fiyatlandırılmasıyla karşı karşıya kalıyor.

Bu makale sadece bilgilendirme amaçlıdır ve yatırım tavsiyesi teşkil etmez.