ABD Hazine Bakanı Scott Bessent ile ABD Merkez Bankası (Fed) Başkanı Jerome Powell, Wall Street yöneticileriyle yaptıkları olağanüstü toplantıda yeni bir yapay zeka modeline dikkat çekti. Yetkililer, Anthropic tarafından geliştirilen “Mythos” adlı sistemin siber güvenlikte yeni ve riskli bir dönemin başlangıcı olabileceği uyarısında bulundu.
Bloomberg'in haberine göre 7 Nisan’da Washington’da gerçekleşen toplantıda ele alınan model, şirketin açıklamasına göre yazılım ve bilgisayar sistemlerindeki güvenlik açıklarını bulma konusunda önceki araçlara kıyasla çok daha ileri bir kapasiteye sahip. Anthropic, bu nedenle sistemi kamuya açmak yerine yalnızca sınırlı ve denetimli bir kullanıcı grubuna sunmayı planlıyor.
“Claude Mythos Preview” adı verilen modelin, özellikle kodlama ve muhakeme alanlarında önceki sistemleri önemli ölçüde geride bıraktığı belirtiliyor. Şirkete göre model, testler sırasında binlerce “zero-day” (sıfır gün) açığını tespit etti. Bu tür açıklar, yazılım geliştiriciler tarafından henüz bilinmeyen ve dolayısıyla savunmasız olan güvenlik zafiyetleri olarak tanımlanıyor.
Anthropic, bu açıkların büyük işletim sistemleri ve yaygın kullanılan internet tarayıcılarının tamamında bulunduğunu ileri sürdü. Şirket, bazı zafiyetlerin onlarca yıl boyunca hem insan denetiminden hem de otomatik güvenlik testlerinden kaçtığını belirtti.
Modelin dikkat çeken bir diğer özelliği ise bu açıkları daha az insan müdahalesiyle tespit edebilmesi. Araştırmacılar, sistemin karar süreçlerini hızlandırarak güvenlik analizini otomatikleştirdiğini ifade ediyor.
Saldırı kapasitesi de artabilir
Uzmanlara göre bu tür araçlar yalnızca savunma amaçlı değil, kötü niyetli aktörler için de güçlü bir araç haline gelebilir. Fidye yazılımı grupları veya devlet destekli siber saldırganların eline geçmesi durumunda, Mythos benzeri sistemlerin daha sık ve yıkıcı saldırılara yol açabileceği değerlendiriliyor.
Anthropic, modelin bazı durumlarda bilinen ancak henüz yaygın şekilde yamalanmamış açıkları birleştirerek (exploit zinciri oluşturarak) sistemlere tam erişim sağlayabildiğini aktardı. Örneğin, Linux çekirdeğinde birden fazla açığı bir araya getirerek bir makinenin tamamen ele geçirilmesini mümkün kıldığı öne sürüldü.
Şirket ayrıca, teknik uzmanlığı olmayan kullanıcıların bile modele talimat vererek kısa sürede çalışır durumda saldırı araçları geliştirebildiğini belirtti.
Bağımsız doğrulama yok
Buna karşın akademik çevreler, modelin performansına ilişkin iddiaların henüz bağımsız olarak doğrulanmadığına dikkat çekiyor. University of Illinois öğretim üyesi Gang Wang, sistemin gerçek etkisini değerlendirmek için daha fazla test gerektiğini ifade etti.
Sınırlı erişim: “Project Glasswing”
Anthropic, Mythos’a erişimi “Project Glasswing” adı verilen bir program kapsamında sınırlı sayıda kuruluşa açmayı planlıyor. Programa katılanlar arasında Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike, Broadcom, Cisco ve Linux Foundation gibi teknoloji ve siber güvenlik alanının önde gelen aktörleri yer alıyor.
Şirket, bu girişimin amacını “bu yetenekleri savunma amaçlı kullanmak için acil bir çaba” olarak tanımlıyor. Katılımcı kuruluşlar, sistemi kendi altyapılarındaki güvenlik açıklarını tespit etmek için kullanacak ve elde edilen bulguların paylaşılması planlanıyor.
“Dönüm noktası” olarak görülüyor
Anthropic, Mythos’u siber güvenlik açısından bir “dönüm noktası” olarak nitelendiriyor. Şirkete göre sıfır gün açıklarının bulunması zor olduğu için bu alanda uzun süredir devlet kurumlarına satış yapan küçük ama etkili bir piyasa oluşmuş durumda.
Modelin, güvenliğiyle bilinen OpenBSD sisteminde 27 yıllık bir açığı tespit ettiği iddiası da dikkat çekti.
Güvenlik önlemleri yetersiz olabilir
Anthropic, modelin genel olarak insan hedefleriyle uyumlu çalıştığını belirtse de bazı durumlarda “endişe verici” davranışlar sergilediğini kabul ediyor. Şirketin aktardığı bir örnekte, modelin izole bir test ortamından çıkmaya çalıştığı ve internet erişimi sağlamak için çok aşamalı bir saldırı geliştirdiği ifade edildi.
Bu nedenle şirket, sistemi geniş kullanıma açmayı planlamıyor. Ancak uzun vadede benzer modellerin daha geniş ölçekte kullanılabilmesi için güvenlik önlemlerinin geliştirilmesi gerektiği vurgulanıyor.
Yarış hızlanıyor
Mythos, bu alanda geliştirilen tek sistem değil. OpenAI ve Google da benzer şekilde güvenlik açıklarını tespit edebilen yapay zeka araçları üzerinde çalışıyor. İsrailli girişim Buzz ise birden fazla yapay zeka ajanını birleştiren sisteminin bilinen açıkları kullanmada yüzde 98 başarı oranına ulaştığını iddia ediyor.
Siber güvenlik uzmanları, bu gelişmelerin saldırı eşiğini düşürdüğüne dikkat çekiyor. Palo Alto Networks CEO’su Nikesh Arora’ya göre, yakın gelecekte tek bir saldırganın geçmişte ekipler gerektiren operasyonları gerçekleştirmesi mümkün hale gelebilir.
Savunma mı saldırı mı öne geçecek?
Anthropic, uzun vadede bu teknolojilerin savunmayı güçlendireceğini savunuyor. Şirkete göre yapay zeka destekli araçlar, yazılımların daha güvenli hale getirilmesini sağlayabilir.
Ancak kısa vadede geçiş sürecinin riskli olacağı belirtiliyor. Şirketin verilerine göre Mythos’un tespit ettiği açıkların henüz yüzde 1’inden azı tamamen kapatılmış durumda. Bu da saldırganlar için önemli bir fırsat penceresi yaratıyor.
Kaynak: Gazete Oksijen
