Küresel bankalar, teknoloji devleri ve hükümetler geçen ay Mythos'un oluşturduğu riskleri kontrol altına almak için çaba harcadılar; Antropik modelin o kadar güçlü olduğu söyleniyor ki, dünyanın yazılım altyapısında önceden bilinmeyen binlerce güvenlik açığı buldu.
Tek bir sorun var: Endişelendikleri yetenek zaten burada.
Siber güvenlik uzmanları ve yapay zeka araştırmacıları CNBC'ye Mythos'un ortaya çıkardığı yazılım açıklarının, Anthropic ve OpenAI modelleri de dahil olmak üzere mevcut modeller kullanılarak bulunabileceğini söyledi.
Siber güvenlik firması watchTowr'un CEO'su Ben Harris, “Sektörde şu anda gördüğümüz şey, insanların Mythos'ta bulunan güvenlik açıklarını kamuya açık modellerin akıllıca düzenlenmesi yoluyla yeniden üreterek çok çok benzer sonuçlar elde edebildikleridir” dedi.
Mythos, yapay zeka destekli siber suçlarda yeni ve tehlikeli bir çağın yaklaştığı endişesi nedeniyle yöneticileri ve politika yapıcıları aynı şekilde sarstı. Anthropic, piyasaya sürülmesini birkaç Amerikan şirketiyle sınırladı: Elma, Amazon, JPMorgan Chase Ve Palo Alto Ağları kötü aktörlerin eline geçmesi riskini azaltmak için.
Bu önlemle bile bu açıklama, Trump yönetimini gelecekteki modeller üzerinde yeni hükümet gözetimi düşünmeye sevk etti.
Bu, Anthropic'in, iki yapay zeka devinin merakla beklenen ilk halka arzlarına yaklaşırken OpenAI ile rekabetini yoğunlaştıran bir dizi yüksek profilli lansmanının sonuncusu. Mythos'un gelişinden haftalar sonra OpenAI CEO'su Sam Altman, siber güvenlik için özel olarak tasarlanmış bir model olan GPT-5.5-Cyber'ı duyurdu.
Perşembe günü OpenAI, incelenen siber güvenlik ekiplerinin GPT-5.5-Cyber'a sınırlı erişimine izin verdi.
Project Glasswing adı verilen bir güvenlik önleminin parçası olan Mythos'un kontrollü kullanıma sunulması, kurumsal dünyaya, suç gruplarından ve düşman ülkelerden gelecek saldırılara karşı siber savunmasını oluşturması için zaman vermekti.
Anthropic CEO'su Dario Amodei bu hafta bir Anthropic etkinliğinde şunları söyledi: “Tehlike, güvenlik açıklarının miktarında, ihlallerin miktarında ve fidye yazılımlarının okullara, hastanelere ve bankalara verdiği mali zarardaki muazzam artıştır.”
'Yeterince korkutucu'
Ancak siber savaşın siperlerinde savaşanlar için, Anthropic'in reklamını yaptığı temel yeteneklerden biri olan yazılım açıklarını geniş ölçekte bulmak, geçen yıldan bu yana mevcut.
Siber güvenlik firması Vidoc'un CEO'su Klaudia Kloc, CNBC'ye şunları söyledi: “Şu anda sahip olduğumuz modeller, büyük ölçekte sıfır günleri tespit edecek kadar güçlü ve bu yeterince korkutucu.”
Bunun “bir yıl olmasa da birkaç aydır” böyle olduğunu söyledi.
“Sıfır gün” terimi, daha önce bilinmeyen ve yama yapılmamış bir yazılım kusurunu ifade eder ve savunmacılar yanıt vermeden önce saldırganlara bu hatadan yararlanmaları için bir pencere açar.
Vidoc'taki araştırmacılar, Mythos'un bulduğu güvenlik açıklarının aynısını bulup bulamayacaklarını test etmek için “düzenleme” adı verilen bir tekniğe güvendiler. Adından da anlaşılacağı gibi süreç, kodu daha küçük parçalara bölen, sonuçları çapraz kontrol etmek için çeşitli araçlar veya modeller arasında koordinasyon sağlayan iş akışları oluşturmayı içerir.
Kloc, “Aynı güvenlik açıklarını tespit edip edemeyeceğimizi görmek için eski modelleri aynı kod tabanında çalıştırdık” dedi. “Hem OpenAI hem de Anthropic'in eski modelleriyle bunu yaptık.”
Başka bir siber güvenlik firması olan Aisle, Mythos'un manşet sonuçlarının çoğunun paralel çalışan daha ucuz modeller kullanılarak yeniden üretilebileceğini buldu; bu da ölçek ve koordinasyonun en son modele sahip olmaktan daha önemli olduğunu ortaya koydu.
Aisle'ın kurucusu Stanislav Fort bir blog yazısında “Her yerde arama yapan binlerce yeterli dedektif, nereye bakacağını tahmin etmek zorunda olan tek bir dahiyane dedektiften daha fazla hata bulacaktır” diye yazdı.
CNBC'ye yaptığı açıklamada Anthropic, önceki modellerin yazılım açıklarını bulma yeteneğine sahip olduğu konusunda itiraz etmedi.
Aslında bir şirket sözcüsü, Anthropic'in aylardır yapay zekanın siber yeteneklerinin hızla ilerlediği konusunda uyarıda bulunduğunu söyledi. Yaygın olarak bulunabilen bir model olan Claude Opus 4.6'nın açık kaynak yazılımda 500'den fazla “yüksek önem derecesine sahip” güvenlik açığı bulduğunu gösteren Şubat ayındaki bir blog gönderisine dikkat çektiler.
Bu haftaki Anthropic etkinliğinde Amodei, Mythos tarafından bulunan yazılım açıklarının ölçeğinin önceki modellere göre artmasına rağmen bu eğilimin yeni olmadığını söyleyerek bu noktayı doğruladı.
Amodei, “Riskler son derece gerçek. Yaptığımız eylemleri bu nedenle gerçekleştirdik” dedi. “Ama aynı zamanda bir bakıma o kadar da şaşırtıcı değiller. … Bir süredir bununla ilgili uyarılar görüyoruz.”
Histeri ve panik
Anthropic'in sözcüsü, Mythos'u farklı kılan şeyin bir sonraki adımı atma, çok az insan katkısıyla veya hiç insan girişi olmadan çalışan istismarlar geliştirme, daha önce yetenekli araştırmacılar gerektiren bir süreci etkili bir şekilde otomatikleştirme yeteneği olduğunu söyledi.
Ancak siber araştırmacılar, suç grupları ve düşman ülkeler için çalışan bilgisayar korsanlarının zaten bu becerilere sahip olduğunu söylüyor. Kloc, Kuzey Kore, Çin ve Rusya'daki bilgisayar korsanlarının “Antropik olsun ya da olmasın bunu nasıl yapacaklarını bildiklerini” söyledi.
Harris'e göre yapay zeka destekli bilgisayar korsanlığı tehdidi, şirketlerin ve hükümet düzenleyicilerinin önemli sistemleri yeni bir fidye yazılımı dalgasından ve diğer saldırı türlerinden koruma konusunda endişe duymasına neden oluyor.
Son haftalarda bankalar, sigortacılar ve düzenleyicilerle yapılan görüşmeleri “histeri” olarak nitelendirdi.
Üretken yapay zekanın ortaya çıkmasından önce bile şirketler, yetenekli bilgisayar korsanlarının yeni keşfedilen güvenlik açıklarından saatler içinde yararlanması sorunuyla karşı karşıya kalırken kodun yamalanması genellikle günler veya haftalar alır. Bazı yamalar önemli sistemlerin çevrimdışına alınmasını gerektirerek işleri karmaşık hale getirir.
Harris, “Sektör şu anda karşı karşıya oldukları güvenlik açıklarının sayısı nedeniyle paniğe kapılıyor” dedi. “Ancak Mythos yaygın olarak kullanıma sunulmadan önce bile güvenlik açıklarını yeterince hızlı bir şekilde düzeltemiyordu.”
Harris'e göre, daha önce dünya çapında yalnızca küçük bir uzman topluluğu, yazılımdaki belirsiz güvenlik açıklarını bulma ve bunlardan yararlanma becerisine ve zamana sahipti. Artık mevcut yapay zeka modelleri kullanılarak, siber tahribata yol açan giriş engelleri azaltıldı.
Harris, bunun bankaların ve diğer hedeflerin daha fazla saldırı göreceği ve daha önce siber suçluların pek ilgisini çekmeyen yazılım sistemlerinin artık tehditlerle karşı karşıya kalacağı anlamına geldiğini söyledi.
Avantajı: Hücum
Araştırmacılar, Anthropic, OpenAI ve diğerleri belirledikleri sorunlarla orantılı siber savunma yetenekleri geliştirmeye çalışırken, araştırmacılar ilk avantajın savunmaya değil hücuma gittiğini söylüyor.
JPMorgan'dan Jamie Dimon, geçen ay yapay zeka araçlarının şirketlerin kendilerini siber saldırılara karşı korumalarına yardımcı olabileceğini ancak öncelikle onları daha savunmasız hale getirdiğini söylediğinde bunu öne sürdü.
Mayer Brown hukuk firmasının ortağı ve New York mali düzenleyici kurumunun siber güvenlikten sorumlu eski yönetici yardımcısı Justin Herring, “Keşfedilen güvenlik açıklarının hacminde önemli bir artış var, ancak bunları düzeltmenize yardımcı olacak bir araç kullanmış gibi görünmüyorlar” dedi.
Herring, “Güvenlik açığı yönetimi, siber güvenliğin büyük Sisifos görevidir” dedi.
İlk Mythos sürümünün bir parçası olan sınırlı grup, güvenlik açıklarını düzeltme konusunda avantajlı bir başlangıç yaptı ancak bunun bir dezavantajı var. Yapay zeka araştırmacılarına, Anthropic'in iddialarını bağımsız olarak doğrulamaları veya ona karşı savunma oluşturmaya başlamaları için Mythos'a erişim izni verilmedi.
Bazıları bunun daha geniş siber topluluğun çözümün bir parçası olmasını engellediğini söylüyor.
Anthropic'in modellerini kullanan siber güvenlik girişimi Tenzai'nin CEO'su Pavel Gurvich, bunun siber güvenlik inovasyonunun hızını yavaşlatabilecek “sahip olanlar ve olmayanlar katmanları” yarattığını söyledi.
Birçok siber güvenlik girişiminin, bu yeni yapay zeka çağında işletmelere yardımcı olabilecek çözümler üzerinde çalıştığını söyledi.
Siber güvenlik girişimi Zafran Security'nin kurucu ortağı Ben Seri, “Bu, dünyanın erişimine açılmadan önce dünyayı düzeltmenin en iyi yolunu bulmaya çalışıyorlar” dedi. “Bu bir tür tavuk-yumurta durumu ve bazı yumurtaları kıracaksınız. Bu kaçınılmaz.”
Bir yanıt yazın