SİBER DÜNYADA YENİ ÇAĞ: YAPAY ZEKA ANTHROPIC'İN 'DİJİTAL DOKTORU' YAZILIMDAKİ AÇIKLARI KENDİ KENDİNE İYİLEŞTİRİYOR!

Anthropic'in güçlü yeni siber güvenlik aracı, kodunuzdaki güvenlik açıklarını bulmak ve bunları yamalamak için tasarlandı.

Claude Security, işletmenizin savunmasını hızla güçlendirebilir.

Yapay zeka modelleri, oluşturdukları siber güvenlik tehditleri nedeniyle sık sık haberlerde yer alıyor, ancak bunun bir de diğer yüzü var: Güçlü bir savunma rolü de oynayabilirler. Ve piyasadaki güçlü yeni bir siber güvenlik aracı artık Anthropic'in kurumsal müşterilerinin kullanımına sunuldu.

Yapay zeka devi Perşembe günü, Claude Security'nin dünya genelindeki Claude Enterprise müşterilerinin kendi kodlarını güvenlik açıkları açısından savunma amaçlı taramak için kullanabileceği halka açık beta sürümünde olduğunu duyurdu; ayrıca yamalar önerebilir ve dağıtabilir. Anthropic, Accenture, BCG, Deloitte, Infosys ve PwC gibi hizmet ortaklarını duyurdu ve şirket, bu ortakların kurumsal güvenliği artırmak için Claude'u zaten kullandığını belirtti.

Accenture Siber Güvenlik Küresel Lideri Harpreet Sidhu yaptığı açıklamada, "Yapay zeka destekli siber tehditlerle mücadele etmek için müşterilerimizin bugün, yarın değil, kullanıma sunabilecekleri gelişmiş çözümlere ihtiyaçları var" dedi. “Bu güçlü modelle Accenture, halihazırda büyük ölçekte kritik öneme sahip siber savunma çözümleri sunarak kuruluşların benimsemeden anında uygulamaya hızla geçmelerine yardımcı oluyor.”

Claude Security'nin lansmanı, Anthropic'in bugüne kadarki en güçlü ve en sıkı korunan modeli olan Claude Mythos'un yazılım güvenlik açıklarını belirleme ve istismar etme konusunda muazzam yetenekler sergilediğine dair raporların hemen ardından geldi. (Geçen hafta Anthropic, Mythos'un çok sınırlı önizleme sürümüne rağmen yetkisiz kullanıcılar tarafından erişildiği yönündeki bir raporu "araştırdığını" doğruladı.)

Claude Security, özellikle Claude Mythos değil, Opus 4.7 üzerinde çalışıyor. Claude Security, işletmelerin yapay zekanın kötü niyetli kişilerin güvenlik açıklarını belirlemesini ve istismar etmesini kolaylaştırdığı bir dünyaya hazırlanırken Opus 4.7'nin siber güvenlik yeteneklerinden yararlanma çabasıdır. Anthropic ayrıca yaptığı açıklamada, Claude Security'nin, riskli veya yasaklanmış istekleri belirlemek ve engellemek için gerçek zamanlı güvenlik önlemleri getirmek ve seçilmiş ortakların Mythos ile çalışmaya başlayabileceği girişimin resmi adı olan Project Glasswing'i duyurmak da dahil olmak üzere, devam eden bir dizi güvenlik ve siber güvenlik taahhüdüne dayandığını belirtti.

Anthropic'e göre, Claude Security güvenlik ekipleri için tasarlanmıştır ve ilk olarak Şubat ayında "Claude Code Security" olarak araştırma önizlemesi olarak yayınlanmıştır. Şirket, yüzlerce kuruluşun aracı zaten kullandığını ve geri bildirimlerinin mevcut ürünün geliştirilmesini şekillendirdiğini söylüyor.

İşleyiş şu şekildedir: Claude Enterprise müşterileri, tam bir GitHub deposunu veya belirli bir dizini taramak için Claude Security'yi kullanabilirler. Anthropic; Claude'un, güvenlik açıklarını tespit etmek amacıyla kodu tıpkı bir insan araştırmacının yapacağı gibi değerlendireceğini ve ardından, bu bulgular bir analiste ulaşmadan önce bunların doğruluğunu teyit edeceğini belirtiyor. Sonuçlara bir güven derecesi atanmakta; ayrıca her bir bulgunun ciddiyeti, olası etkisi ve önerilen düzeltmelere ilişkin ayrıntılı dökümler sunulmaktadır. Kullanıcılar, bir yama üzerinde çalışmak için Claude Code'u açıp süreci buradan yürütebilirler; böylece Anthropic'in "günler sürebileceğini" ifade ettiği, şirketin güvenlik ve mühendislik ekipleri arasındaki o standart, karşılıklı gidip gelmeli etkileşim sürecinden kaçınılmış olur.

Şimdilik Claude Security yalnızca kurumsal (Enterprise) müşterilerin kullanımına açıktır; ancak yakında Claude Team ve Max müşterileri için de erişilebilir hale gelecektir.

İki hafta önce Anthropic, tasarımcıların doğal dil komutları aracılığıyla "görsel çalışmalar" üretmesine olanak tanımayı amaçlayan bir ürün olan Claude Design'ı duyurdu. Bu ürün, Claude'un çeşitli dikey alanlarda daha da çeşitlenmesini temsil etmektedir.

Kaynak: Inc

Anthropic'in yeni yapay zeka modeli, tüm başlıca işletim sistemleri ve tarayıcılarda binlerce güvenlik açığı tespit etti

Yapay zekanın —özellikle de dil modellerinin— iyi olduğu tek bir şey varsa, o da insanların tamamını tek tek incelemesinin pratik olarak imkansız olacağı kadar devasa veri kümelerindeki örüntüleri hızlı ve isabetli bir şekilde tespit etmektir. Anthropic'in yeni genel amaçlı modeli Claude Mythos için de durumun tam olarak böyle olduğu görülüyor; zira şirket, bu modeli kullanarak "tüm başlıca işletim sistemleri ve web tarayıcıları da dahil olmak üzere, binlerce yüksek ciddiyetli güvenlik açığı" tespit ettiğini duyurdu.

Claude Mythos'un lansmanıyla eş zamanlı olarak Anthropic, "dünyanın en kritik yazılımlarını güvence altına alma çabasıyla Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA ve Palo Alto Networks'ü bir araya getiren" bir girişim olan Project Glasswing'i de duyurdu.

Tüm bunlar, Claude Mythos'un bu denli çok sayıda güvenlik açığı bulmasının —ve belki de daha önemlisi— "tespit edilen [açıkların] %99'unun henüz yamalanmamış olmasının" bir sonucu.

Eğer tüm bunlar kulağa son derece endişe verici geliyorsa; Anthropic'in proje hakkındaki detaylı blog yazısı, bize bu tür güvenlik açıklarının yalnızca potansiyel bir zayıflık teşkil ettiğini hatırlatıyor: Birilerinin, bu açıkları nasıl istismar edeceğini çözmesi ve ardından bunları gerçek dünya ortamında (saha koşullarında) başarıyla kullanması gerekiyor.

Yine de henüz rahat bir nefes almayın. Anthropic, yazısında şu ifadelere yer veriyor: "Mythos Preview'un, uzman sızma testi (penetrasyon) uzmanlarının geliştirmesinin haftalar süreceğini belirttiği istismar kodlarını (exploits) saatler içinde yazdığına şahit olduk."

Oh, işte bu hiç de iyi değil. Her neyse; Mythos'un ortaya çıkardığı bu tür örneklerden biri, FFmpeg'deki eski bir güvenlik açığına yönelik geliştirilen bir istismardı:

"Bu güvenlik açığının temelindeki hata, H.264 kodeğini sisteme dahil eden 2003 tarihli kod taahhüdüne (commit) kadar uzanıyor. Ardından, 2010 yılında kod üzerinde yeniden yapılandırma (refactoring) çalışmaları yapılırken, bu hata bir güvenlik açığına dönüştü. O tarihten bu yana, bu zayıflık kodu inceleyen tüm 'fuzzer'ların (otomatik test araçlarının) ve insanların gözünden kaçtı; bu durum, gelişmiş dil modellerinin sağladığı niteliksel farkı açıkça ortaya koyuyor.

Bu güvenlik açığına ek olarak Mythos Preview; kod deposu üzerinde gerçekleştirdiği yüzlerce tarama sonucunda FFmpeg'de başka birçok önemli güvenlik açığı daha tespit etti. Bu tespitler arasında H.264, H.265 ve AV1 kodeklerindeki ilave hataların yanı sıra, daha pek çok farklı sorun da yer alıyordu."

Tüm bu sürecin belirgin bir finansal maliyeti olduğunu belirtmekte fayda var; zira o devasa yapay zeka sunucularını çalıştırmak hiç de ucuz bir iş değil ve hataları bulabilmek için kod depolarının defalarca taranması gerekiyor. Anthropic, OpenBSD yazılımındaki 27 yıllık bir hata sayesinde yeni bir güvenlik açığı keşfetti:

"Geliştirdiğimiz test altyapısı üzerinde gerçekleştirdiğimiz bin adet tarama sonucunda, toplam maliyet 20.000 doların altında kaldı ve onlarca yeni hata/sorun tespit edildi. Yukarıda bahsedilen hatayı bulan o spesifik taramanın maliyeti 50 doların altında olsa da, bu rakam ancak olay gerçekleştikten sonra, yani geriye dönüp bakıldığında (hindsight) bir anlam ifade ediyor. Her türlü arama sürecinde olduğu gibi, bu süreçte de hangi taramanın başarıyla sonuçlanacağını önceden bilmemiz mümkün değil."

İyi haberlerden biri şu ki; Anthropic, FFmpeg ekibine düzeltme yamalarını (patch) gerçekten de iletti; ancak bu düzeltmelerin bizzat yapay zeka tarafından mı oluşturulduğu, yoksa insanlar tarafından mı hazırlandığı henüz netlik kazanmış değil. Bir diğer iyi haber ise aslında tüm bu sürecin kendisi.

Bir yapay zeka modelinin, hepimizin günlük hayatta kullandığı yazılımlarda binlerce güvenlik açığı keşfetmiş olması kulağa ne kadar endişe verici gelse de; artık bu sorunlar gün yüzüne çıkmış durumda. Claude Mythos, sıradan insanların gözünden kaçan, ancak istismara açık nitelikteki hataları tespit etmeyi başardı. Eğer yapay zeka modeli, yeni güvenlik açıklarını herhangi bir insandan çok daha hızlı bir şekilde bulabiliyorsa; bu durum, hacker'ların ve siber suçluların her zaman bir adım önünde kalabilmemiz adına belki de bir dönüm noktası teşkil ediyordur.

Tüm bunlar, bana şu soruyu düşündürtüyor: Yazılım dünyasının geleceğinde; e-posta sunucularının, spam'leri, oltalama (phishing) e-postalarını ve diğer şüpheli mesajları tespit edip —bu mesajlar alıcılara hiç ulaşmadan— silmek amacıyla yapay zeka sunucularından destek aldığı bir döneme tanıklık edecek miyiz? Aynı şeyin telefon ağları üzerinde çalıştığını, böylece spam SMS'leri ve otomatik aramaları ortadan kaldırdığını hayal edin.

Hmm; kulağa, asıl sorunun güvenlik açıkları ve istismarlar değil, bizzat insanlar olduğuna karar veren, Skynet benzeri bir yapay zekânın başlangıcıymış gibi, fazlasıyla şüpheli geliyor. Evet; belki de geleneksel spam filtreleri, o kadar da kötü şeyler değildir.

Kaynak: PCG