Project Glasswing, artık her şeyin çalışmasını sağlayan programların yazıldığı kodun güvenliğini artırmak amacıyla Anthropic tarafından desteklenen bir girişimdir. Şu anda Apple ve Microsoft gibi önemli Big Tech şirketleri, Cisco gibi donanım üreticileri ve ayrıca özgür yazılımın ruhu olan Linux Foundation Glasswing'e katıldı.
Üyeliğin bu kadar geniş olmasının nedeni, Antropik modelin yazılım açıklarını bulma konusunda çok yetenekli olan ve çok tehlikeli olduğu için kimsenin kullanımına açıklanmayan bir versiyonu olan Claude Mythos'tur.
Aslında Mythos, yalnızca geleneksel olarak hiçbir zaman tam olarak güvenlik “şampiyonu” olamamış yazılımlarda değil, aynı zamanda OpenBSD gibi sistemlerde de (27 yıldır hareketsiz olsa bile yalnızca bir tane ve zaten çözülmüş) çok sayıda “Sıfır Gün” güvenlik açığını (geliştiricilerin bile bilmediği) keşfetmeyi başardı. Bu nedenle Anthropic'te, yalnızca hatalı yazılımı “onarmak” için değil, aynı zamanda suç işlemek veya Devlet destekli saldırılar yapmak için de kullanılabilecek kontrolsüz bilgi dolaşımından kaçınmanın daha iyi olduğu sonucuna vardılar.
Anthropic'in şu ana kadar pazarlama odaklı anlatımı; buradan bazı düşünceler.
Dev heykelin artık sadece kilden yapılmış ayakları yok
Birincisi neredeyse felsefi niteliktedir: Önce yazılım endüstrisi, kötü yazılmış yazılımları on yıllar boyunca dolaşıma sokarak sorunu yarattı ve ardından yarattığı soruna “çözüm” sattığını iddia etti.
Buna “titreşim kodlaması” (yani “okuma yazma bilmeyen programlama”) ve otomatik kod yazmanın çok büyük miktarda program ürettiği gerçeğini de ekleyin. Bu nedenle, daha önce ayakları kilden yapılmış bir devden bahsetmiş olsaydık, artık bu kadar kırılgan bir malzemeden yapılmış, büyümeye devam eden yalnızca devlerin ayakları değildir.
Anthropic tarafından açıklanan sonuçlar doğruysa ve güvenlik açıklarının boyutu gerçekten bu kadar büyükse, Avrupa Birliği'nin yazılımın bir ürün olduğu ve onu geliştirenlerin tasarım hatalarından ve yeterince test edilmediği takdirde onu piyasaya sürme seçiminden hukuki ve cezai açıdan sorumlu oldukları konusunda Avrupa Birliği'nin hala neye ihtiyacı olduğu açık değildir.
Ancak bu gerçekleşmeyecek ve AB'nin tercihsizliği sayesinde, kritik altyapı ve platformların yapısal çöküşleri karşısında bile yazılıma şiir ya da şarkı muamelesi yapmaya devam edeceğiz.
Siber güvenlik tekel haline geliyor
İkincisi ekonomik niteliktedir: Amodei'nin şirketi Mythos'un, büyük entelektüel yeteneklere ve teknik becerilere sahip az sayıda insanın yapabileceği şeyi tek başına ve daha hızlı bir şekilde yaptığını söylüyor. Eğer bu doğruysa siber güvenlik hizmetleri pazarı köklü bir değişime uğrayacak. Mythos, altyapı, sistem ve veri güvenliğine ilişkin bürokratik düzenlemelere uymak için herkesin dikkate alması gereken altın standart haline gelecek.
Bu, benzer araçlara sahip olmayan veya Mythos kullanmayan siber güvenlik şirketlerinin (yalnızca büyük “istihbarata” sahip küçük şirketler değil, aynı zamanda ve hepsinden önemlisi devlete ait şirketlere kadar en büyük şirketler) Glasswing'in parçası olanlarla rekabet edemeyeceği anlamına gelir. Aynı durum, örneğin siber dirençlilik düzenlemesi nedeniyle yazılımlarının güvenliğini belgelendirmesi gereken donanım üreticileri için de geçerlidir.
Siber güvenlik pazarı bu nedenle giderek daha fazla konuşacak Amerikan İngilizcesi ve gittikçe daha az sayıda AB dili.
Büyük Teknoloji, ABD jeopolitiği açısından giderek daha yapısal ve organik hale geliyor
Üçüncüsü ise jeopolitik niteliktedir: 2016'daki Shadow Brokers skandalıyla ortaya çıktığı gibi, büyük olasılıkla ABD Ulusal Güvenlik Ajansı'nın kullanımına sunulan birkaç sıfır gün yazılımı, casusluk eylemlerini gerçekleştirmek için kullanılmıştı. O zamanlar bu güvenlik açıklarının sayısı bu kadar yüksek değildi, ancak bunların varlığına dair haberler bir kez daha ABD'li yasa koyucunun değil Avrupalı yasa koyucunun dikkate almadığı bir dizi soruyu gündeme getirdi.
Bugün, eğer Mythos gerçekten işe yaradıysa, Amerika Birleşik Devletleri'ne düşmanlara, müttefiklere ve ortaklara karşı benzersiz bir stratejik ve taktiksel üstünlük sağlayacaktı. Bu, Anthropic'in modellerinin militarizasyonu konusunda benimsediği konumla tamamen tutarlıdır: Amerikan vatandaşlarına karşı olmadığı sürece her şey yapılabilir.
(Gerçek) koruması olmayan vatandaşlar
Somut anlamda, felaket senaryolarını varsaymak için kesinlikle erken ama bu, vurgulanan beklentilerin gerçekçi olmadığı ve bu kadar distopik bir şekilde büyümesine izin verdiğimiz teknolojik ekosistemin hayatta kalması için yapısal kararlar almanın gerekli olmadığı anlamına gelmiyor.
Yasa koyucuların dar görüşlülüğü, şirketlerin vicdansızlığı ve insanların kayıtsızlığı nedeniyle hayatımızı düzenleyen altyapıların yapısal zayıflıklarını elbette görmezden gelmeye devam edebiliriz, ancak bir noktada gerçeklik hesaplaşmayı gerektirecektir.
Ve bunun bedelini kimin ödemek zorunda kalacağı konusunda pek şüphe yok.
Bir yanıt yazın