Anthropic ve OpenAI, son bir ayda yeni yapay zekâ modellerinin siber saldırı/hack yeteneklerini öne çıkarıyor.
Araştırmacılar, Anthropic’in Mythos ve OpenAI’nin GPT-5.5 modellerini test ettikten sonra, bu modellerin “hackleme yeteneklerinin” bir “oyun değiştirici” (game-changer) olduğunu söylüyor.
Bu araçlara erişimi olan araştırmacılar, şirketlerin abartmadığını söylüyor ve Anthropic’in Claude Mythos’u ile OpenAI’nin GPT-5.5’i gibi araçlar geliştikçe etkisinin tahmin edilenden de büyük olabileceği konusunda uyarıyor.
Siber güvenlik şirketi Palo Alto Networks’ün ürün ve teknoloji direktörü Lee Klarich, Mythos’u ilk test ettiğinde “Bunun bir oyun değiştirici olacağı benim için çok açıktı” dedi. “Bugün bana sorarsanız, o zamankinden düşündüğümden daha güçlü.”
Her iki yapay zekâ şirketi de en ileri düzey modellerinin testlerini yalnızca sınırlı sayıda güvenilir kuruluşa açtı. Bunun nedeni, bu teknolojilerin gelişmiş siber kabiliyetleri ve mevcut dijital araçları — hatta en yetenekli insanları bile — geride bırakmış olması.
Açıklanma anında Anthropic, Mythos’un “her büyük işletim sistemi ve web tarayıcısında bulunanlar da dahil olmak üzere binlerce yüksek önem dereceli güvenlik açığı bulduğunu” ve bu teknolojinin kontrolsüz bırakılmasının küresel ekonomi, kamu güvenliği ve ulusal güvenlik açısından “ciddi sonuçlar doğurabileceğini” söylemişti.
Bu durum, devlet kurumlarının, kongre komitelerinin, bankaların ve düzenleyici kurumların son haftalarda erişim için adeta yarışmasına yol açtı. Amaç, kritik ağları rakipler bu teknolojiyi yıkıcı saldırılar için kullanmadan önce güvence altına almak.
Mythos ve GPT-5.5’i kontrollü ortamlarda deneyen ülkenin önde gelen dokuz siber güvenlik araştırmacısı ve teknoloji liderinin hepsi aynı çarpıcı sonuca vardı: Bu araçlar beklenenden çok daha hızlı ilerliyor ve dijital güvenlik alanını sonsuza kadar değiştirecek.
Siber güvenlik şirketi Semgrep’in CEO’su Isaac Evans, Mythos’u test ederken “beklentilerimizi aştı” dedi.
“Model tüm alanlarda süper insan değil ama bazı dar alanlarda, özellikle açık (exploit) üretiminde ürkütücü derecede güçlü bir yetenek gösteriyor.”
Evans, bazı uzmanların Mythos’un “her çeyrekte bir SolarWinds üretebilecek” kapasitede olduğunu söylediğini aktardı.
Bu ifade, 2020’de Rus hükümetiyle bağlantılı saldırganların ABD federal kurumlarına sızdığı SolarWinds ihlaline atıfta bulunuyor.
Bu olay, tarihin en büyük siber saldırılarından biri olarak görülüyor ve dünya çapında 18.000’den fazla kuruluşu etkilemişti.
IT güvenlik şirketi Qualys’in baş bilgi güvenliği sorumlusu Jonathan Trull ise test edilen GPT-5.5 için, “Temelde en gelişmiş uygulama güvenliği mühendisinizin yapabildiğini yapabiliyor” dedi.
Bu erken geri bildirimler, yeni nesil yapay zekâların pazarlama abartısından ibaret olmadığını; aksine insan zekâsını aşmayı hedefleyen yarışın gerçekten başladığını ve hiçbir birey, sektör ya da devletin henüz bu sistemlerin yaratabileceği geniş çaplı yıkımı nasıl önleyeceğini çözemediğini gösteriyor.
Mythos ve GPT-5.5’in bulabildiği bazı açıklar henüz kamuya açıklanmadı; ancak detaylar sızmaya başladı.
Wall Street Journal’a göre Mythos, MacOS sisteminde Apple güvenliğini günler içinde aşabildi. ABD Temsilciler Meclisi İç Güvenlik Komitesi üyesi Demokrat vekil Lou Correa, Anthropic’ten aldığı kapalı brifing sonrası POLITICO’ya yaptığı açıklamada, yapay zekâ aracının banka hesabına kolayca erişebildiğini söyledi.
Cloudflare Güvenlik Direktörü Grant Bourzikas da bir blog yazısında Mythos’un hem güvenlik açıklarını tespit edebildiğini hem de bunları istismar edecek kod yazabildiğini ve bunun bu alanda “gerçek bir sıçrama” olduğunu belirtti.
Siber güvenlik şirketi Broadcom, Mythos’u kendi yazılımlarında test ettikten sonra bulgularını “şok edici” olarak tanımladı.
“İnsan araştırmacıların tek başına asla keşfedemeyeceği şeyleri öğreniyoruz,” ifadeleri raporda yer aldı.
Gelişmiş yapay zekâ araçları, su tesisleri, hastaneler ve telekomünikasyon ağları gibi kritik sektörleri koruyan siber yetkililer için bir dönüm noktası olabilir. Çünkü bu modeller, yazılım yayımlanmadan önce hataların tespit edilmesini sağlayarak, saldırılar gerçekleşmeden önce önlem alma imkânı sunabilir.
Palo Alto Networks’ten Lee Klarich, “Gelecekte aslında daha güvenli ürünler ve daha güvenli kod üreteceğimiz bir noktaya gidebiliriz,” dedi. Ayrıca savunmacıların Mythos ve GPT-5.5 gibi modellerin güçlü yönlerini birleştirerek “çoklu model mimarisi” ile ağlarını koruyabileceğini söyledi.
Ancak bu modellerin güvenlik açıklarını bulma yeteneği aynı zamanda çift taraflı bir kılıç: Hacker grupları ve devlet destekli aktörler de aynı teknolojiyi hassas ağlara sızmak için kullanabilir.
Siber güvenlik uzmanı Isaac Evans, “Bu gelişmeler savunuculardan çok saldırganların lehine,” dedi.
Birleşik Krallık Yapay Zekâ Güvenlik Enstitüsü’nün Mythos ve GPT-5.5 üzerinde yaptığı testlere göre Mythos, 10 denemenin 6’sında kurumsal bir ağı tamamen ele geçirebiliyor. GPT-5.5 ise 10 denemede 3 kez aynı başarıyı gösterebiliyor.
Birleşik Krallık Yapay Zekâ Bakanı Kanishka Narayan, “Önde gelen yapay zekâ sistemlerindeki siber kabiliyetler beklediğimizden çok daha hızlı gelişiyor,” dedi.
Çin ve diğer rakiplerin de kendi gelişmiş yapay zekâ araçlarını geliştirmeye yakın olduğu ya da mevcut modelleri kopyalamaya çalıştığı yönünde endişeler artıyor.
Çin özellikle “distillation” adı verilen yöntemlerle ABD teknolojilerini kopyalamaya yönelik sanayi ölçekli bir kampanya yürütüyor.
Trump yönetimi bu risklerin farkında ve teknoloji şirketleri, devlet kurumları ve kritik altyapı kuruluşlarıyla birlikte bu araçların hızlı ama güvenli şekilde nasıl kullanılabileceğini tartışıyor.
ABD Başkanı Donald Trump, bu hafta başında yapay zekâ modellerinin federal hükümete gönüllü test için sunulmasını öngören bir yürütme emrini imzalamayı erteledi.
Eski yapay zekâ danışmanı David Sacks, bu düzenlemenin inovasyonu yavaşlatabileceği endişesini Trump’a iletti ve süreç karıştı.
Trump, Cuma günü yaptığı açıklamada taslak hakkında “birçok endişesi” olduğunu ve bunun “endüstriyi engelleyebileceğini” söyledi.
Yürütme emrinin ne zaman imzalanacağı belirsizliğini koruyor. Bazıları, hızlı hareket edilmezse gelişmiş yapay zekânın hızla ilerlemeye devam ederek siber savunmacıları yeni bir dijital çağa hazırlıksız bırakacağından endişe ediyor.
Semgrep CEO’su Isaac Evans, “Dünya bunun ne anlama geldiğini tam olarak çözmüş değil ama artık geri dönüş olmadığını görüyoruz,” dedi. “Güvenliğe çok daha fazla dikkat ve yatırım yapılması gerekecek.”
Politico
