Bilgisayarları herhangi bir ceza almadan hackleme yeteneği nedeniyle kamunun erişiminden uzak tutulan güçlü bir yapay zeka, dünya çapında manşetlere çıkıyor. Peki Mythos nedir, gerçekten bir riski temsil ediyor mu ve hatta siber güvenliği artırmak için kullanılabilir mi?
Anthropic’in Project Glasswing’i çevrimiçi güvenliği artırmayı amaçlıyor
Geçtiğimiz birkaç hafta, siber güvenlik kusurlarını birkaç dakika içinde tespit edebilen ve işletim sistemlerini ve yazılımları bilgisayar korsanlarına karşı savunmasız bırakabilen bir yapay zeka olan Mythos hakkında görünüşe göre endişe verici haberler getirdi. Siber güvenlik topluluğu artık Mythos’un siber güvenliğin çehresini nasıl değiştirebileceğini ve bunun daha da kötüye gitmeyeceğini daha iyi anlamaya başlıyor.
Mythos nedir ve insanlar neden bununla ilgileniyor?
Mythos, Anthropic tarafından yaratılmış bir yapay zekadır. Varlığı, geçen ay insanların şirketin web sitesinde yayınlanma zamanı olmayan ve herkesin görmesi için güvenli olmayan bir içerik ortaya çıkarmasıyla tesadüfen ortaya çıktı.
Anthropic’e göre modelin kapalı kapılar ardında tutulmasının iyi bir nedeni var: tasarımdan ziyade tesadüfen, hackleme konusunda son derece iyi. İstenirse hemen hemen her yazılımdaki kullanıcının içeri sızmasına izin verecek kusurları keşfedebileceği iddia ediliyor.
Şirket, Mythos’un işletim sistemlerinde ve diğer yazılımlarda binlerce yüksek ve kritik önemde güvenlik açığı bulduğunu söylüyor. Antropik yanıt vermedi Yeni Bilim AdamıAncak şirket web sitesinde “ekonomi, kamu güvenliği ve ulusal güvenlik açısından sonuçlarının ciddi olabileceğini” belirtti.
Şirket, bunu gizli tutmak gibi sorumlu bir adım attığını söylüyor.
Peki hiç kimse bunu kullanamıyor mu?
Pek değil. Anthropic, bunu Amazon Web Services, Apple, Google, JPMorganChase, Microsoft ve NVIDIA gibi seçkin bir grup teknoloji ve finans devlerine Project Glasswing adı verilen bir şey altında sunmaya karar verdi, böylece kendi yazılımlarındaki herhangi bir hatayı başkasından önce ortaya çıkarabilirler.
Özel bir çevrimiçi forumun üyeleri de denemeye yetkisiz erişim sağlamayı başardı. Raporlar, modelin çevrimiçi olarak nerede barındırılacağına dair “bilgili bir tahmin” yaptıklarını ileri sürüyor; bu, ilk etapta Mythos’un varlığının ortaya çıkmasına yol açan aynı türden bir sorun. Belki de siber güvenlik konusunda bu kadar endişe duyan bir şirketin kendi güvenliğine daha fazla dikkat etmesi gerekir.
Model başlangıçta gizli tutulacak ve kullanım dışı kalacaktı, ancak şimdi büyük ilgi görüyor ve dünyanın en iyi siber güvenlik uzmanlarından bazıları tarafından test ediliyor. Bu şirketlerin birçoğu elbette Anthropic’in en büyük potansiyel müşterileridir ve Mythos’un gücü hakkındaki abartılı reklamların Anthropic’e kesinlikle hiçbir zararı olmayacaktır.
Güvenlik uzmanı Davi Ottenheimer, bir blog yazısında durumu “yeniden çerçevelemeden yararlanan bir tarafça uygarlık tehdidi olarak yeniden çerçevelenen meşru bir teknolojik yetenek” olarak özetledi.
İnsanların abarttığı kadar tehlikeli mi?
Birleşik Krallık’taki Ulster Üniversitesi’nden Kevin Curran, Mythos’un açığa çıkmasının ve neler yapabileceğinin “güvenlik endüstrisinde alarmı tetiklediğini” söylüyor, ancak araştırmacılar tehdidin gerçekte ne kadar ciddi olduğu konusunda bölünmüş durumda. “Yetenekli bir bilgisayar korsanının aylarca başardığı işi bir makine saniyeler içinde yapabilirse ne olur?” merak ediyor.
Ancak henüz paniğe kapılma zamanının gelmediğine dair göstergeler var. Mythos’a erişim izni verilen kuruluşlardan biri olan Firefox’tan Bobby Holley, bir blog yazısında, modelin ekibinin web tarayıcısında 271 güvenlik açığı bulmasına yardımcı olduğunu, bunun kesinlikle oldukça zahmetli olduğunu, ancak hiçbirinin bir insanın çıkaramayacağı kadar ustaca, aşılmaz derecede karmaşık veya karmaşık olmadığını yazdı.
Holley, “Bu tür hatalardan yalnızca biri 2025’te kırmızı alarma geçebilirdi ve aynı anda o kadar çok sayıda hata var ki, buna ayak uydurmanın mümkün olup olmadığını merak etmenize neden oluyor” diye yazdı Holley. “Memnun edici bir şekilde, herhangi bir hata da görmedik. yapamadım seçkin bir insan araştırmacı tarafından bulundu.”
Birleşik Krallık’ın 2023’teki Yapay Zeka Zirvesi sonrasında dönemin İngiltere Başbakanı Rishi Sunak başkanlığında kurulan Yapay Zeka Güvenlik Enstitüsü (AISI) de Mythos’u araştırdı. Testlerde, yalnızca “küçük, zayıf savunulan ve savunmasız kurumsal sistemlere” saldırabildiği görüldü ve önceki modellere göre yetenek açısından bir adım daha ileri olmasına rağmen, gerçekten güvenli bir yazılım veya ağ parçasının risk altında olacağına dair hiçbir gösterge yoktu. Ve AISI bu şeylerin hızla iyileştiği konusunda uyardı. AISI sorulduğunda yorum yapmadı Yeni Bilim Adamı Tehdidi tartışmak için.
Birleşik Krallık’taki Surrey Üniversitesi’nden Alan Woodward, Mythos’un ve genel olarak diğer tüm yapay zeka modellerinin oluşturduğu tehdit konusunda pragmatik bir görüşe sahip; bu modeller aynı zamanda farklı derecelerde siber güvenlik açıklarını tespit etme yeteneğine de sahip. “Yapay zekanın mutlaka bir insanın bulamayacağı güvenlik açıklarını bulma yeteneği yoktur ancak çok daha hızlı, kapsamlı ve acımasızdır. Dolayısıyla insanların gözden kaçırdığı güvenlik açıklarını buluyor” diyor. “Mythos’un gösterdiği gibi yapay zeka, saldırganın işini daha verimli hale getiriyor ve ona savunmayı zorlaştıran ancak imkansız olmayan bir hız ve çeviklik kazandırıyor.”
Öyle görünüyor ki Mythos, ölçek ve hızda kusurlar bulabilse de, henüz yıkıcı derecede tehlikeli bir şey bulamıyor. Hatta bunun gerçekten iyi bir şey olabileceğine inanmak için nedenler bile var.
Bilgisayar korsanlığı yapan bir yapay zeka nasıl olumlu olabilir?
Holley, “Kusurlar sınırlıdır ve sonunda hepsini bulabileceğimiz bir dünyaya giriyoruz” diye yazdı. Temel olarak, eğer bir yazılım yapıyorsanız veya bakımını yapıyorsanız, Mythos’u kullanarak kendi kodunuzu seçip ona yama yapabilirsiniz; hatta belki daha yayınlanmadan önce.
Yapay zeka neredeyse kesinlikle kusurları bulma konusunda daha yetenekli olacak ve kötü niyetli saldırganlar da bundan bir dereceye kadar kesinlikle faydalanacak. Ancak bu aynı zamanda yazılım üreticilerine de yardımcı olacaktır; ancak onlarca yıl önce yazılmış eskimiş, hantal hükümet yazılımlarını sürdürenler buna ayak uydurmayı zor bulabilir.
Anthropic bile yapay zekaları hacklemenin sonuçta saldırganlardan çok savunuculara fayda sağlayacağına inanıyor; ancak bunun tersini söylemek, bunları yapmayı haklı göstermeyi zorlaştıracaktır.
Esasen yapay zeka hem hacklemeyi hem de hackerlara karşı savunmayı kolaylaştırıyor ve kolaylaştırmaya devam edecek, ancak teknolojiyi görmezden gelenler kendilerini büyük bir dezavantajla karşı karşıya bulacaklar.
Curran, “Mythos’a uyarı atışı gibi davranın” diyor. “Ve 18 ay içinde benzer yeteneklerin rakiplerin eline geçeceğini varsayalım. Bunun önüne geçmek için pencere açık ama hızla kapanıyor.”
