Giriş
Anthropic, siber güvenlik alanında yeni bir girişim olan Project Glasswing‘i duyurdu. Bu proje, yapay zeka tabanlı bir model olan Claude Mythos‘u kullanarak yazılım güvenlik açıklarını tespit etmeyi hedefliyor.
Saldırı Nasıl Çalışıyor?
Projenin temelinde, Mythos Preview adı verilen modelin, yüksek öncelikli sıfır gün güvenlik açıklarını belirleyebilme yeteneği bulunuyor. Model, çeşitli işletim sistemlerinde ve web tarayıcılarında keşfedilen güvenlik açıklarını kullanarak, örneğin:
- OpenBSD üzerinde 27 yıllık bir hata
- FFmpeg içindeki 16 yıllık bir açık
- Hafıza güvenliği diyerek nitelenen bir sanal makine denetleyicisindeki bir bellek bozulma açığı
Güvenlik açığı keşifleri, modelin manuel müdahale olmaksızın karmaşık araçları birleştirerek gerçekleştirdiği yöntemlerle oluyor. Örneğin, bir web tarayıcı açığı, dört ayrı güvenlik zafiyetini birleştirerek işletim sistemi sınırlarını aşmayı başardı.
Etkilenen Sistemler
Bu model, teknoloji devlerinin yanı sıra aşağıdaki organizasyonlar tarafından test edilecektir:
- Amazon Web Services
- Apple
- Broadcom
- Cisco
- CrowdStrike
- JPMorgan Chase
- Linux Foundation
- Microsoft
- NVIDIA
- Palo Alto Networks
Çözüm ve Korunma
Anthropic, Project Glasswing ile artırdığı güvenlik kapasitelerinin kötü niyetli aktörler tarafından kullanılmaması için önlem almayı hedefliyor. Şirket ayrıca, açık kaynak güvenlik organizasyonlarına 4 milyon dolar doğrudan bağış yapmayı ve Mythos Preview için 100 milyon dolar kullanım kredisi sağlamayı taahhüt etti.
Sonuç olarak, güvenlik yönetimi yapan kuruluşların bu gelişmeleri dikkatle takip etmesi ve sistemlerini aşağıdaki adımlarla güvence altına alması önemlidir:
- Güncellemeleri kontrol edin: Yazılımlarınızı düzenli olarak güncelleyin ve son sürümleri kullanın.
- Port kapatma: Kullanılmayan bağlantı noktalarını kapatmayı consider edin.
- Güvenlik testleri gerçekleştirin: Sistemlerinizde güvenlik testleri yaparak zayıf noktaları tespit edin.
Gelişen tehditlere karşı proaktif olmak, her kuruluş için hayati önem taşımaktadır.
