AI laboratuvarı Anthropic, bu hafta şirketin “siber güvenliği yeniden şekillendirebileceğine” inandığı güçlü yeni bir model geliştirdiğini duyurdu. En son modeli Mythos Preview’ın “her büyük işletim sistemi ve web tarayıcısında bulunanlar da dahil olmak üzere yüksek önemdeki güvenlik açıklarını” bulabildiği belirtildi.
Patrick Sison/AP
başlığı gizle
başlığı değiştir
Patrick Sison/AP
Yaygın olarak kullanılan siber altyapıyı koruyan geliştiricilere göre, son birkaç ayda yapay zeka modelleri halüsinasyonlar üretmekten yazılımdaki güvenlik açıklarını bulmada etkili olmaya başladı. Bu yazılım parçaları, diğer şeylerin yanı sıra, işletim sistemlerine güç sağlıyor ve internete bağlı şeyler için veri aktarıyor.
Bu yeni yetenekler geliştiricilerin yazılımı daha güvenli hale getirmesine yardımcı olabilirken aynı zamanda bilgisayar korsanları ve ulus devletler tarafından bilgi ve para çalmak veya kritik hizmetleri aksatmak için silah olarak kullanılabilir.
Yapay zekanın siber kapasitesindeki en son gelişme Salı günü, yapay zeka laboratuvarı Anthropic’in şirketin “siber güvenliği yeniden şekillendirebileceğine” inandığı güçlü yeni bir model geliştirdiğini duyurmasıyla gerçekleşti. Son modelinin olduğunu söyledi. Mitos Önizlemesi“bazıları tüm önemli işletim sistemlerinde ve web tarayıcılarında bulunan yüksek önemdeki güvenlik açıklarını” bulmayı başardı. Model, bulduğu güvenlik açıklarından yararlanmanın yollarını bulma konusunda daha başarılıydı; bu da kötü niyetli aktörlerin hedeflerine daha etkili bir şekilde ulaşabilecekleri anlamına geliyordu.
Şimdilik şirket, “dünyanın en kritik yazılımını güvence altına almak amacıyla” modele erişimi yaklaşık 50 seçilmiş şirket ve kuruluşla sınırlandırıyor. İşbirliği çağrısında bulunuyorlar Cam Kanat Projesişeffaf kanatlı bir kelebek türünden adını almıştır.
Anthropic, duyuruya göre, kötüye kullanım riskinin o kadar yüksek olduğunu ve bu özel modeli halka sunma planlarının olmadığını ancak diğer ilgili modelleri yayınlayacağını söyledi. Şirket, “Nihai hedefimiz, kullanıcılarımızın Mythos sınıfı modelleri geniş ölçekte güvenli bir şekilde dağıtmalarını sağlamak” diye yazdı.
Yine de güvenlik uzmanları, potansiyel risklerin sıradan insanlar için değil, siber güvenlik uzmanları için olduğunu söylüyor. Siber güvenlik firması Proofpoint’in Tehdit Araştırması Başkan Yardımcısı Daniel Blackford, “Ortalama bir bilgisayar kullanıcısının bu konuda temelde endişelenmesi gerektiğini düşünmüyorum” dedi. “Şifrelerini vermeme konusunda çok daha fazla endişelenmeleri gerekiyor çünkü bu her gün, her gün oluyor.”
CEO’su Jim Zemlin, Mythos Preview’un geliştiricilerin güvenlik açıklarını düzeltmesine yardımcı olmak için önceki modellere göre daha iyi yeteneklere sahip olabileceğini söyledi. Linux VakfıAçık kaynaklı Linux çekirdeğini barındıran. Çekirdek, donanımın yazılımla konuşmasını sağlayan bir arayüzdür ve Linux çekirdeği, Android dahil en yaygın kullanılan işletim sistemlerinden bazılarının yanı sıra dünyanın en güçlü 500 süper bilgisayarının tümüne güç sağlar. Vakıf, Project Glasswing’in bir parçası ve Zemlin, Linux çekirdeği üzerinde çalışan ve bakımcılar olarak bilinen çekirdek bir grubun, onu kullanmanın en etkili yolunu bulmak için yeni modeli denemeye başladığını söyledi.
Zemlin, “Bu bakımcılar yapay zekadan önce zaten çok fazla çalışıyorlardı” dedi. “Bu onların hayatlarını çok daha iyi hale getiriyor.”
Mythos Preview’ın sınırlı sürümünden önce bile siber güvenlik topluluğu, ticari olarak mevcut en gelişmiş yapay zeka modellerinin ne kadar yetenekli hale geldiğiyle zaten boğuşuyordu. Geliştiriciler, bilgisayar korsanlarının yapay zeka ile işaretlediği güvenlik açıklarını düzeltmek için yarışıyor. Güvenlik uzmanları, bu tür kapasitelerin korkuluklar olmadan çoğalması durumunda ileride neler olabileceği konusunda endişeli.
Bilgisayar korsanları hataları bulmalarına yardımcı olmak için yapay zekayı kullanıyor. Şu ana kadar işe yaramıyordu
Daniel Stenberg, yapay zeka modellerinin yeteneklerindeki iyileşmenin 2026’nın başlarında fark edilir hale geldiğini söyledi. Arkasındaki lider yazılım geliştiricisidir. kıvrılmaarabalar ve tıbbi cihazlar da dahil olmak üzere internete bağlanan şeyler için yaygın olarak kullanılan, 30 yıllık açık kaynaklı bir veri aktarım aracıdır. Bu değişiklik, 2025 sonlarında yeni son teknoloji modellerin piyasaya sürülmesinin ardından geldi.
Yazılım topluluğundaki birçok kişi gibi Stenberg de yazılımını işlevsel ve güvenli tutmak için güvenlik araştırmacılarından yardım alıyor. “Beyaz şapkalı” bilgisayar korsanları, geliştiricilere özel olarak güvenlik kusurlarını işaretler ve karşılığında bazen “hata ödülleri” olarak bilinen ödül parası veya güvenlik kusurunu alarak övünme hakları alırlar. kendi adlarını taşıyan. Tüm hatalar yazılımın işlevselliğini etkilerken, yalnızca bazı hatalar güvenlik açıklarına neden olur.
Ancak geçen yıl bu süreç bozulmaya başladı. Stenberg’in ekibi yapay zeka tarafından oluşturulduğuna inandığı sahte raporlara boğulmuştu. Stenberg, “Yıl boyunca 185 rapor aldık ve bunların yüzde 5’inden azı aslında güvenlikle ilgili sorunlardı” dedi.
Rapor hacmi 2024’ten 2025’e iki katına çıkmasına rağmen Stenberg daha az güvenlik açığı bulup düzeltti. Hata raporları o kadar kötüleşti ki Stenberg, cURL aracı için hata ödülü ödemeyi bıraktı.
Stenberg, kendisine rapor sunan bilgisayar korsanlarının genellikle isimsiz olduğunu ve raporların yapay zeka ile yapılıp yapılmadığını tartışmadıklarını söyledi. Ancak Stenberg, yapay zekanın farklı bir yazma stiline sahip olduğunu söyledi. “Çok ayrıntılı ve açıklayıcı olma eğilimindeler… 400 satırlık bir rapor alıyorsunuz [when] bu, bir insanın sunması için 50 satırın geçmesi gereken bir şey.”
Stenberg’in güvenlik raporlamasını yönetmek için kullandığı bir platform olan HackerOne, 2025 yazında bilgisayar korsanlarıyla anket yaptı ve yanıt verenlerin yaklaşık %60’ının ya yapay zeka kullandığını, bunu öğrendiğini ya da yapay zeka veya makine öğrenimi sistemlerini denetlemeyi öğrendiğini ortaya çıkardı.
“LLM’ler artık hata bulma konusunda insan yeteneğini atladı”
Bu yıl işler dramatik bir şekilde değişti. Raporların hacmi 2025’tekinden bile daha yüksek, ancak Stenberg şu ana kadar çoğunun meşru sorunları ortaya çıkardığını söyledi. “Hemen hemen hepsi kötü [reports] artık gittiler.”
Raporların yaklaşık 10’da 1’inin güvenlik açıkları olduğunu, geri kalanların ise çoğunlukla gerçek hatalar olduğunu tahmin ediyor. 2026’ya yalnızca üç ay kala, Stenberg’in liderliğindeki cURL ekibi önceki iki yılın her birinden daha fazla güvenlik açığı buldu ve düzeltti.
Harici güvenlik araştırmacılarının raporlarının yanı sıra Stenberg, güvenlik açıklarını kendisi bulmak için de yapay zekayı kullanıyor. Yapay zeka, kodundaki insanlar ve geleneksel kod analizcileri tarafından “neredeyse sihirli yollarla” incelenen 100’den fazla hatayı tek bir tıklamayla işaretledi.
Stenberg’in deneyimi benzersiz değil. Bakımcılar Linux çekirdeğinin sahip olduğu görülen hata raporlarının kalitesinde de benzer bir değişiklik. Antropik araştırma bilimcisi Nicholas Carlini şunu bulmayı başardı: Linux çekirdeğindeki güvenlik açıkları daha eski bir Antropik model ve nispeten basit bir istem kullanarak. Carlini ayrıca 20 yıllık başka bir açık kaynak projesindeki ilk kritik güvenlik açığını bulmak için yapay zekayı kullandı.
Yapay zeka yazılım güvenliği şirketi Corridor’un güvenlik şefi Alex Stamos, “LLM’ler artık hata bulma konusunda insan yeteneğini atladı” dedi. Güvenlik araştırma raporlarının kalitesindeki artış, aşağıdakilerin yayınlanmasını takip etti: Anthropic’in modeli Opus 4.5 Daha önce Yahoo ve Facebook’ta güvenlik sorumlusu olan Stamos, Kasım ayında bunu söyledi. Stamos, pek çok ticari yazılımın açık kaynaklı bileşenlere sahip olması nedeniyle, açık kaynaklı projelerin başına gelenlerin internet üzerinde daha geniş etkileri olacağını söyledi.
Yapay zeka bulduğu hataları ve güvenlik açıklarını düzeltebilir mi?
Stenberg, şu anda herkesin kullanımına sunulan yapay zeka modellerinin hataları bulmada daha yararlı hale geldiğini takdir ediyor, ancak aynı zamanda açık kaynak yazılım kullanan geliştiricilere gelecekte daha güçlü modellerin getirebileceği konusunda da ihtiyatlı. “Bu, zaten çoğu zaman aşırı yüklenmiş, yetersiz personele sahip, düşük maaşlı ve birçok yönden yetersiz fonlanmış tüm bakımcıların aşırı yüklenmesidir.”
Stenberg, Project Glasswing’in bir parçası değil ve “aslında internetin temel taşları olan” pek çok kritik projenin dışarıda bırakıldığını söylüyor.
Antropik, NPR’nin yorum talebine yanıt vermedi.
Ancak şu ana kadarki deneyimine dayanarak Stenberg, yapay zekanın hataları ve güvenlik kusurlarını düzeltmede, onları bulmada olduğu kadar iyi olmadığını söylüyor.
Bunun bir nedeni, ne hataların ne de bunların düzeltmelerinin kesin ve kuru olmamasıdır. Yazılım geliştirmenin diğer pek çok yönü gibi, karara varmak da kodu yazmaktan daha fazla zaman alır. Stenberg, “Sorunu tanımladığımızda ve bunun bir sorun olduğu konusunda hemfikir olduğumuzda, aslında onu düzeltmek çok zor ve çok zaman alıcı olmuyor. Daha çok o adıma kadar olan tüm süreç zaman ve enerji alıyor” dedi.
Diğerleri farklı düşünüyor. HackerOne adlı bir şirket şu anda güvenlik açıklarını daha özerk bir şekilde bulmak ve onarmak için ajansal bir yapay zeka ürünü geliştiriyor.
Yapay zeka, siber güvenlikte saldırı ve savunma arasındaki çekişmeyi nasıl etkiliyor?
Stamos, “Hataları bulmak, hataları sömürülebilir hale getirmek anlamına gelmiyor” dedi. “Öldürme zinciri dediğimiz şeyin ilk kısmı kusurları keşfetmektir. Bir sonraki adım ise… [actually] silahı inşa ediyor. Ve temel modelleri bunu sizin için yapmayacak.”
Temel modeller Anthropic, OpenAI ve Google Deepmind gibi en gelişmiş AI laboratuvarları tarafından oluşturulan modellerdir. Bu laboratuvarlar, modellerinin kötü amaçlı kullanılabilecek yazılımlar oluşturmasını önlemek için korkuluklar yerleştirdi. Bu modeller oldukça özeldir ve iç işleyişi kamuya açık değildir.
Ancak halk tarafından daha erişilebilir olan sözde açık ağırlıklı modeller, en gelişmiş yapay zeka laboratuvarlarındaki modelleri yakaladığında tüm bahisler kapandı. Kötü aktörler bunların bir kopyasını oluşturabilir ve kötü amaçlı yazılımlara karşı bariyerleri kaldırabilir.
Stamos, “O zaman başımız gerçekten dertte çünkü bu modellerden sadece hataları bulmalarını değil, aynı zamanda sistemleri hackleyebilecek bir yararlanma kodu oluşturmalarını da isteyebilirsiniz” dedi. En gelişmiş açık ağırlıklı modeller, en gelişmiş kapalı ağırlıklı modellerin bir yıldan az gerisindedir.
Stamos, “Bu aynı zamanda Pentagon’un Antropik’in tüm ABD için bir risk olduğunu söylemesinin ne kadar aptalca olduğunu da gösteriyor” diye ekledi. Pentagon, Anthropic’i “tedarik zinciri riski” olarak etiketledi çünkü şirket hükümetten teknolojisini kullanmamasını istedi otonom silahlar ve kitlesel gözetleme için. Bu etiket, devlet kurumlarının ve müteahhitlerin Anthropic ile çalışmasını yasaklayacak. Antropik şu anda etikete itiraz ediyor mahkemede.
Açık ağırlıklı modellerin çoğu, ABD’nin yapay zeka hakimiyeti yarışında ana rakibi olarak gördüğü Çin merkezli şirketler tarafından üretiliyor. Stamos, Mythos Preview’ı halka açık olarak yayınlamayarak Anthropic’in yazılım geliştiricilere ve ABD’ye savunmalarını güçlendirmeleri için zaman verdiğini söyledi.
