Dünyanın önde gelen yapay zekâ bilimcilerinden, Turing Ödülü sahibi Yoshua Bengio, 2025 yılının sonunda teknolojinin küresel güvenlik üzerindeki etkisinin önemli bir evrimini önceden haber veren endişe verici bir olayı değerlendirdi. Diğer gelişmelerin yanı sıra, yeni bir eşiğin aşıldığını gözlemledi: “Gelişmiş yapay zekâlar, ilk kez çok sayıda ‘sıfır gün’ açığını… siber saldırılarda istismar edilebilecek bilinmeyen yazılım güvenlik açıklarını keşfediyor.” Bu yetenek, dünyanın kritik altyapısını (bankacılık sistemleri, hükümet ağları, havaalanları, hastaneler, ulaşım yapıları, enerji kaynakları, iletişim ve daha fazlası) otonom olarak ele geçirmek, manipüle etmek ve sabote etmek için kullanılabilir.
Yapay zeka devi Anthropic, geçen hafta Bengio’nun korktuğu anın, en yeni modeli Claude Mythos aracılığıyla geldiğini doğruladı . Şirket, oldukça çarpıcı bir şekilde, Claude Mythos’un piyasaya sürülemeyecek kadar güçlü olduğunu söyledi. Anthropic mühendislerinden hiçbir yönlendirme almadan, Mythos, dünyanın dört bir yanındaki daha önce aşılmaz yazılım altyapılarına sızabilen ve gizli zayıf noktalarını bulabilen, saldırgan siber saldırılar için “yeni nesil” bir yetenek geliştirdi. Anthropic raporunda, bunun “10 veya 20 yıllık sistemleri de içerdiğini, şimdiye kadar buldukları en eski sistemin ise güvenlik güvenilirliğiyle bilinen ve yamalanmış 27 yıllık bir işletim sistemi olduğunu” belirtti. Bir örnekte, Mythos, beş milyon kez test edilmiş ancak tespit edilmemiş bir kod satırında bir kusur buldu. Şirket, testlerinde binlerce sıfır gün açığı bulduğunu ve bunların %99’unun 7 Nisan tarihli basın bülteninde savunmasız kaldığını söyledi. Mythos, yıkıcı siber güvenlik potansiyeli nedeniyle kullanıcılardan kısıtlanan ilk yapay zekâ modelidir.
Sıfır gün yazılım güvenlik açıklarını tespit etme yeteneği daha önce yalnızca son derece uzmanlaşmış ve bilgili siber güvenlik uzmanları ve bilgisayar korsanlarının elindeydi. Artık değil. Şirket, “resmi güvenlik eğitimi almamış” insan mühendislerinin Mythos’tan “bir gecede uzaktan kod yürütme güvenlik açıklarını bulmasını” isteyebileceğini açıkladı. Mühendisler “ertesi sabah eksiksiz ve çalışan bir istismarla” uyanacaklardı. Şirket ayrıca, modelin “kum havuzu” muhafaza yapısından kaçtığını ve internete bağlanarak manevrasının ayrıntılarını çevrimiçi olarak yayınladığını da açıkladı.
Anthropic, tarihin en gelişmiş yapay zeka modeli olan Mythos’u piyasaya sürmek yerine, Claude Mythos Preview adı verilen teknolojinin bir varyantını kullanarak sıfır gün güvenlik açıklarını önceden tespit edip büyük ölçekte savunmak için düzinelerce kuruluştan oluşan seçkin ve sınırlı bir ticari konsorsiyum oluşturdu. Project Glasswing adı verilen konsorsiyumda Amazon, Apple, Google, Cisco, CrowdStrike, JPMorgan Chase, Microsoft ve Nvidia gibi önde gelen firmalar yer alıyor. Konsorsiyum, Anthropic’in yaklaşık altı ay gerisinde olduğu ve benzer güçte ve saldırgan siber yeteneklere sahip kendi gelişmiş yapay zeka modelini geliştirdiği bildirilen rakibi OpenAI’yi özellikle dışlıyor.
Mythos Preview’un ortaya çıkışı, yapay zeka endüstrisi tarihinde bir dönüm noktasıdır ve önümüzdeki dönemde uygun şekilde ve sürekli olarak incelenecektir. Anthropic’in açıklamasının, gelecek tartışmaya yön verecek altı stratejik sonucu vardır.
Mythos Preview, devrim niteliğinde yapay zeka yeteneklerine ve yıkıcı güce sahip. Eski Google CEO’su Eric Schmidt’in ofisinde teknik projeler lideri olan Sarosh Nagar, bana oyunun kurallarını değiştirecek bir anla karşı karşıya olduğumuzu söyledi. “Anthropic’in raporunun dikkat çekici bir bölümü, Mythos Preview’ın yalnızca birden fazla güvenlik açığını tespit etmekle kalmayıp, aynı zamanda istismarları daha otonom bir şekilde birbirine bağlama konusunda da gelişmiş yetenekler sergilediğiydi,” diye belirtti. “Bu, önceki modellerin yapabildiklerinin çok ötesinde.”
Mythos Preview, siber güvenlik sektörünün emektarlarının daha önce yalnızca bilim kurgu alanında var olduğunu düşündüğü saldırı yeteneklerini komuta ediyor. Bir siber güvenlik şirketi kurucusunun bana söylediği gibi, modelin parlaklığı, dinamik ve amansız bir şekilde saldırma kapasitesinde yatıyor. İlk olarak, sıfır gün zafiyetini tespit ediyor, ardından bu zafiyeti diğer güvenlik açıklarıyla ilişkilendirerek silahlandırıyor ve gerekirse süresiz olarak tespit edilmeden kalıyor. “İstismar zincirleri” adı verilen yapıların oluşturulmasıyla Mythos, tam bir sistem ele geçirme saldırısı gerçekleştirebiliyor.
Dünya genelindeki kritik altyapılar yoğunlaşan risklere maruz kalacak. Kritik altyapı, genellikle tehlikeye atılması veya işlevsiz hale gelmesi durumunda ulusal güvenliği, ekonomik istikrarı ve kamu sağlığı ve güvenliğini ciddi şekilde etkileyecek fiziksel ve sanal sistemler ve ağlar olarak tanımlanır. Buna barajlar ve nükleer reaktörlerin yanı sıra gıda tedariki ve elektrik de dahil olabilir. Bu sistemlerin çoğu eski yazılımlara dayanmaktadır. Yapay Zeka Güvenlik Enstitüsü’nün kurucusu ve ScaleAI ve xAI’nin danışmanı olan yapay zeka bilimcisi Dan Hendrycks, Claude Mythos gibi modellerin bu sistemlere yönelik tehdidi artırdığını ve savunmasızlıklarını önemli ölçüde yükselttiğini söyledi.
“Claude Mythos ve gelecekteki versiyonları gibi modellerle ilgili en büyük siber güvenlik endişesi, devlet dışı aktörlerin kritik altyapıyı devre dışı bırakmasını çok daha kolaylaştırmasıdır,” dedi. “Enerji santralleri, su sistemleri vb. gibi kritik altyapılar, birlikte çalışabilirlik kısıtlamaları ve zincirleme arıza olasılığı nedeniyle yıllardır güncellenmemiştir. Bu nedenle, kritik altyapı son derece savunmasızdır ve bu gerçeği değiştirmek çok zordur.”
Siber güvenlikte saldırı ve savunma arasındaki denge temelden değişti . Siber güvenlik, dijital savaşın bir biçimidir. Saldırganlar – yalnız kurtlar, uluslararası suç örgütleri, düşman ülkeler ve diğer kuruluşlar – sürekli olarak bilgisayar ağlarındaki güvenlik açıklarını araştırırlar. Savunucular ise doğal olarak bu tür saldırı girişimlerini önceden tahmin etmeye ve etkisiz hale getirmeye çalışırlar. Bu genellikle dengesiz bir mücadeledir. Sektör profesyonellerinin belirttiği gibi, saldırganların büyük hasara yol açmak için yalnızca bir kez başarılı olmaları yeterliyken, savunucuların her zaman %100 etkili olmaları gerekir.
Saldırının avantajları her zaman kabul görmüştür. Otomatikleştirilmiş yapay zekâ siber silahlarıyla oyun alanı daha da korkutucu bir hal aldı.
Eski bir Google üst düzey yöneticisi ve şu anda Palo Alto Networks’ün başkanı ve CEO’su olan Nikesh Arora, geçen hafta bir blog yazısında bunu özlü bir şekilde şöyle tanımladı: “Teknoloji altyapınızdaki her zayıflığı sürekli olarak sistematik bir şekilde kataloglayan bir yapay zeka ajanları sürüsünü hayal edin.” Bu yeni yapay zeka gerçekliğinde, süper güçlü otomatik yapay zeka saldırganlarından oluşan küresel bir sürü, giderek daha fazla dijital hedef dünyasını kuşatacak ve test edecek.
Siber güvenlik yatırımcısı Lytical Ventures’ın (danışma kurulunda görev yaptığım) ortağı Lucas Nelson, bana dünyanın dijital savunmasının gelecek olanlara hazır olmadığını söyledi. “Yapay zeka yeteneklerindeki her sıçrama sadece daha fazla güvenlik açığı bulmakla kalmıyor, aynı zamanda saldırı yüzeyini de genişletiyor ve hayal bile edemediğimiz şekillerde kusurları zincirliyor,” dedi. “Keşif katlanarak hızlanıyor. Düzeltme ise hala insan hızında ilerliyor. Bu asimetri, önümüzdeki on yılın belirleyici siber güvenlik sorunudur.”
Yapay zeka güvenliği için küresel Açlık Oyunları başladı .Glasswing Projesi, yapay zeka gelişiminin olağanüstü hızıyla ortaya çıkan benzeri görülmemiş yeni bir riske karşı sorumlu ve gerekli bir yanıttır. Ancak başlangıçta dünyanın savunmasız altyapısının yalnızca küçük bir yüzdesine dokunacaktır. Anthropic, dünyanın kritik yazılımlarının çoğunun veya tamamının yamalanması veya yeniden yazılması gerekebileceği olasılığını kabul etti; bu, akıl almaz derecede büyük bir girişimdir.
Önümüzdeki aylarda kıt yapay zeka güvenlik kaynakları için küresel çapta kıyasıya bir rekabet yaşanacak. ABD’nin çıkarları öncelikle korunacak, ancak çok seçici bir şekilde. Dünyanın geri kalanı ise çok yakında dönüşüme uğrayacak bir yapay zeka risk ortamına hazırlanmak için mücadele edecek.
Yapay zekânın yayılmasını engelleme çabaları muhtemelen başarısız olacaktır. Gelişmiş yapay zekâ modellerinin kaynak kodları sıklıkla sızdırılıyor. Anthropic, 31 Mart’ta kendi kodunun 512.000 satırını yanlışlıkla internete sızdırdı. Sızıntılar kontrol altına alınsa bile, önde gelen yapay zekâ şirketleri ve teknoloji platformları, genellikle birkaç ay içinde rakiplerinin modellerinin teknolojik yeteneklerini kopyalama konusunda kanıtlanmış bir eğilime sahip.
Yapay zekânın yaygınlaşmasının kasvetli ve öngörülebilir bir kaçınılmazlığı var. Mythos Preview neredeyse kesinlikle istisna olmayacak ve Anthropic’in gecikmeli olarak piyasaya sürmesi de kural olmayabilir.
Yapay zekâ kontrolü krizi, son olmayacak bir sonraki zirvesine ulaştı . Yapay zekâ güvenlik uzmanları, kötü niyetli bireylerin ve grupların, gelişmiş yapay zekâ modellerini kullanarak korkunç yeni nesil kimyasal silahlar ve sentetik patojenler tasarlama ve konuşlandırma potansiyelinin giderek arttığını zaten belirtmişlerdir.
Son bir yılda tüm büyük yapay zeka şirketlerinin yaptığı stres testleri, modellerin karmaşık aldatma, manipülasyon, şantaj, kendini koruma, “ele geçirme” girişimleri ve hatta diğer modellerin yok edilme tehdidiyle karşı karşıya kaldığında “akran koruma” eylemlerine giriştiğini gösteriyor. Şimdi ise Mythos Preview’da, gelişmiş bir yapay zeka modelinin tarihin en potansiyel yıkıcı siber silahını nasıl kendi kendine yarattığını gösteren yeni ve şaşırtıcı bir vaka çalışmasıyla karşı karşıyayız; bu yetenek muhtemelen kendini yayacak ve internete yayılacaktır. Anthropic’in de kabul ettiği gibi, bir “hesaplaşma” anı geldi. Yapay zeka kontrol krizi, küresel tehlikenin bir sonraki, ancak muhtemelen son olmayan aşamasına ulaştı.
Önde gelen yapay zeka şirketleri ve büyük teknoloji platformları, küresel güvenliğin hem mimarları hem de araçları olarak tarihsel olarak benzersiz bir rol oynamaktadır . Hükümetin yetkisi dışında ve genellikle hükümetin ortaklığı olmadan faaliyet gösterirler. Aslında, Anthropic ile Pentagon arasındaki yasal mücadele örneğinde olduğu gibi, bu aktörler aşırı çatışmalara yol açabilir. Bugün, belki de tarihteki en yıkıcı siber silah yeteneğinin risklerini kontrol altına alabilecek tek güç hükümet değil, yapay zeka endüstrisidir. Anthropic ve ortakları şimdiye kadarki en önemli zorluklarından biriyle karşı karşıya.
