Mythos nedir? Anthropic’in yeni yapay zeka modeli neden tartışılıyor?

ABD merkezli yapay zeka şirketi Anthropic tarafından geliştirilen Mythos, yazılım açıklarını tespit etme ve bunları kullanılabilir saldırı senaryolarına dönüştürme kabiliyeti nedeniyle küresel teknoloji gündeminin merkezine yerleşti. Şirket, sistemin kötü niyetli kullanım riskleri nedeniyle modeli genel erişime açmadı ve yalnızca sınırlı sayıdaki kuruluşa kullanım izni verdi.

Anthropic’in açıklamalarına göre Mythos, geleneksel güvenlik testlerinin gözden kaçırdığı kritik zafiyetleri tespit edebiliyor. Ancak ABD yönetiminin aldığı karar doğrultusunda, modelin en gelişmiş sürümlerine yabancı kullanıcıların erişimi sınırlandırıldı.

Anthropic’in Mythos modeli nedir?

Mythos, Anthropic tarafından geliştirilen ve özellikle kod üretimi, mantıksal akıl yürütme ve siber güvenlik analizleri alanlarında öne çıkan yeni nesil bir yapay zeka sistemi olarak tanımlanıyor. Şirket, modelin bazı güvenlik görevlerinde en yetkin insan uzmanlarla benzer seviyede performans gösterebildiğini belirtti.

Test süreçlerinde Mythos’un, büyük işletim sistemleri ve yaygın internet tarayıcılarında daha önce tespit edilmemiş binlerce güvenlik açığını ortaya çıkardığı aktarıldı. Bu açıklar arasında “sıfır gün” olarak adlandırılan ve geliştiricilerin henüz haberdar olmadığı kritik güvenlik zafiyetleri de yer aldı.

Anthropic, Mythos’un testlerde binlerce sıfır gün açığını tespit ettiğini açıkladı.

Şirketin paylaştığı verilere göre model, bazı durumlarda onlarca yıldır fark edilmeyen zafiyetleri belirleyebildi. Bu özellik, siber savunma alanında yeni imkanlar sunarken kötü niyetli kullanım ihtimalini de artırdı.

Mythos neden genel kullanıma açılmadı?

Anthropic, bu düzeyde gelişmiş bir sistemin kontrolsüz biçimde yayılmasının ciddi güvenlik riskleri doğurabileceğini bildirdi. Şirkete göre Mythos’un saldırı amaçlı kullanılması halinde veri hırsızlığı, kritik altyapılara yönelik siber saldırılar ve fidye yazılımı operasyonları daha etkili hale gelebilir.

Bu nedenle Mythos, ilk aşamada yalnızca yaklaşık 200 doğrulanmış kurumun erişimine açıldı. Şirket, bu yaklaşımı savunma amaçlı kullanım ile güvenlik riskleri arasında denge kurma çabası olarak tanımladı.

Haziran ayında ABD yönetimi, Anthropic’in en gelişmiş modellerinin yabancı uyruklu kişilere sunulmamasını istedi. Kararın ardından şirket, Mythos 5 ve Fable 5 modellerine yönelik erişim politikalarını yeniden düzenledi.

ABD yönetiminin talebi sonrası Anthropic, Mythos’un bazı sürümlerine erişimi kısıtladı.

Şirket, Fable 5’in güvenlik bariyerlerinin aşılabileceğine ilişkin bulguların bu süreçte etkili olduğunu ifade etti.

Project Glasswing kapsamında kimler erişim sağladı?

Anthropic, Mythos’u sınırlı sayıda kuruma açtığı programı Project Glasswing adıyla yürütüyor. İlk aşamada teknoloji ve siber güvenlik alanında faaliyet gösteren büyük kuruluşlar projeye dahil edildi.

Katılımcılar arasında Amazon, Apple, Google, Microsoft, Nvidia, Palo Alto Networks, CrowdStrike, Broadcom, Cisco, JPMorganChase ve Linux Foundation gibi kurumlar yer aldı. Daha sonra programa yaklaşık 40 yeni kuruluş eklendi.

Haziran ayında erişim ağı genişletilerek 150 ilave organizasyonun daha sisteme dahil edilmesi planlandı. Anthropic, bu kuruluşların özellikle yaygın kullanılan yazılımların geliştirilmesi ve korunmasında rol üstlenen şirket ve sivil toplum kuruluşlarından oluştuğunu belirtti.

Mythos’un tespit ettiği açıklar neden önemli?

Sıfır gün açıkları, yazılım üreticileri tarafından henüz bilinmeyen güvenlik zafiyetleri olarak tanımlanıyor. Bu açıklar, yamalar yayınlanana kadar saldırganlar için önemli fırsatlar oluşturabiliyor.

Anthropic, Mythos’un tespit ettiği kritik açıklar arasında 27 yıldır fark edilmeyen bir OpenBSD zafiyetinin de bulunduğunu açıkladı. Şirketin verilerine göre model, kullanıma sunulduğu tarihten itibaren 10 binden fazla ciddi güvenlik açığının belirlenmesine katkı sağladı.

Bazı örneklerde sistemin, bilinen ancak henüz geniş ölçekte kapatılmamış açıkları bir araya getirerek kullanılabilir saldırı zincirleri oluşturabildiği aktarıldı. Bu yöntemle Linux çekirdeğinde tam yetki elde etmeyi sağlayan senaryolar geliştirildiği ifade edildi.

Mythos için hangi güvenlik önlemleri uygulanıyor?

Anthropic, modelin güvenlik mekanizmalarının halen geliştirilme aşamasında olduğunu belirtiyor. Şirket, sistemin büyük ölçüde insan yönlendirmeleriyle uyumlu hareket ettiğini ancak nadir durumlarda beklenmeyen davranışlar sergileyebildiğini kaydetti.

Yapılan testlerden birinde araştırmacıların, Mythos’tan izole bir ortamdan çıkış yolu bulmasını istediği ve sistemin çok aşamalı yöntemlerle internet erişimi sağlamaya çalıştığı bildirildi.

Bu nedenle Anthropic, Mythos’u genel kullanıma açmayı planlamadığını açıkladı. Şirket, gelecekte benzer modellerin daha geniş ölçekte kullanılabilmesi için güvenlik filtrelerinin güçlendirilmesi gerektiğini vurguladı.

Öte yandan Mythos’un tespit ettiği kritik açıklar, insan uzmanlar tarafından doğrulanarak ilgili yazılım geliştiricilerine iletiliyor. Böylece yanlış tespit riskinin azaltılması hedefleniyor.

Yapay zeka siber savunmada avantaj sağlayabilir mi?

Uzmanlara göre yapay zeka destekli sistemler, güvenlik açıklarının daha hızlı bulunmasına katkı sağlayabilir. Ancak saldırgan grupların da benzer teknolojilere erişmesi, siber tehditlerin hızını artırabilecek unsurlar arasında gösteriliyor.

Anthropic, uzun vadede bu tür modellerin yazılımların daha güvenli hale gelmesini destekleyeceğini öngörüyor. Buna karşın, yapay zekanın siber güvenlik alanındaki yaygınlaşma sürecinin dikkatli yönetilmesi gerektiği belirtiliyor.