Anthropic, yeni Mythos modelini Nisan ayında tanıttığında, yazılım geliştiricilerine ciddi bir uyarıda bulundu. Model, yazılım güvenlik açıklarını tespit etme yeteneğiyle dikkat çekti ve iddialara göre, binlerce yüksek öncelikli hatayı ortaya çıkardı. Bu hataların düzeltilmeden modelin kamuya açık hale getirilemeyeceği belirtildi.
Mozilla’nın Firefox tarayıcı güvenlik araştırmacıları, bu sürecin pratikte nasıl işlediğine dair daha yakından bir bakış sunuyor. Mythos’un yazılım güvenliği üzerindeki etkisi ve güçlü yönleri hakkında yeni bilgiler paylaşıldı.
Mozilla, Perşembe günü yayımladığı bir yazıda, Mythos’un yüksek öneme sahip birçok hatayı gün yüzüne çıkardığını, bazı hataların kodda on yıldan fazla süredir aktif olmadığını açıkladı.
Bu durum, yapay zeka güvenlik araçlarının yalnızca altı ay önceki yeteneklerine göre önemli bir gelişmeyi temsil ediyor. Önceki nesil yapay zeka hata tespit araçları, güvenlik ekiplerini düşük kaliteli raporlarla ve yanlış pozitiflerle boğuyordu. Ancak Mozilla’nın araştırmacıları, son nesil araçların bu sorunu aştığını, özellikle de “ajans sistemlerinin” kendi çalışmalarını değerlendirebilme ve kötü sonuçları filtreleyebilme yeteneği kazandığını belirtiyor.
Nisan 2026’da Firefox, geçtiğimiz yılın tam bu zamanında yalnızca 31 hata çözmüşken, bu yıl 423 hata düzeltmesi ile önemli bir sıçrama gerçekleştirdi. Araştırmacılar, birkaç sıra dışı sandbox açığından, tarayıcının HTML elemanlarını işlerken karşılaştığı 15 yıllık bir hataya kadar 12 hata hakkında detaylar da paylaştı.
Mozilla’nın saygın mühendislerinden Brian Grinstead, TechCrunch’a verdiği demeçte, “Bu açıklar gerçekten birdenbire çok iyi hale geldi,” dedi. “Bu durumu, kendi iç taramalarımızda, dışardan gelen hata raporlarında ve sektördeki her türlü sinyalde gözlemliyoruz.”
Özellikle Firefox’un “sandbox” sisteminde tespit edilen güvenlik açıkları, karmaşık bir saldırının gerektirdiği yaratıcı ve titiz bir yaklaşımın sonucudur. Model, tarayıcı için tehlikeli bir yamanın yazılması ve yeni kodun uygulanmasıyla en güvenli bölgeyi hedef alması gereken bir süreç içeriyor. Açığın bulunması ve gösterilmesi, birden fazla aşamayı gerektiriyor.
Bu durumu daha iyi anlamak için, Mozilla’nın hata ödül programı, Firefox’un sandbox’ında bir açık bulan araştırmacılara 20,000 dolara kadar ödül veriyor. Ancak Grinstead, Mythos’un insan araştırmacılarda bulduğundan daha fazla sandbox sorunu tespit ettiğini belirtiyor: “Onları bulabiliyoruz ama bu teknikle bulduğumuz kadar yüksek bir hacimde olmuyor.”
Dikkat çekici bir diğer nokta, Firefox ekibinin hala yapay zeka kullanarak hataları düzeltmemesi. AI’dan her açık için yamanın yazılmasını istiyorlar, ancak elde edilen kod genellikle doğrudan uygulanamıyor ve bunun yerine bir insan mühendisine model oluşturuyor.
Grinstead, “Bu yazının konusu olan hatalar için, her biri bir mühendis tarafından yazılıp diğer mühendis tarafından gözden geçiriliyor,” diyor. “Otomatize edilebileceğini bulamadık.”
Yapay zekanın yeni yüksekliklerinin siber güvenlikteki güç dengesini nasıl değiştireceği hala belirsiz. Mythos tanıtıldıktan bir ay sonra, tespit edilen hataların çoğunun muhtemelen yamanmamış olduğunu belirtmek zor. Anthropic, sorumlu açığı açıklama normlarına özen gösterdi ancak kötü niyetli aktörlerin benzer teknikleri kullanması muhtemel.
Son olarak, Anthropic CEO’su Dario Amodei, yeni araçların nihayetinde savunucular için daha iyi bir pozisyon sağlaması konusundaki iyimserliğini dile getirdi: “Durumu doğru yönetebilirsek, bu açıkları düzelttiğimiz için başlangıçta bulunduğumuz durumdan daha iyi bir konumda olabileceğiz,” dedi. Grinstead ise, “Bu araçlar hem saldırganlar hem de savunucular için kullanışlı; sahip olduğumuz araç, avantajı bir miktar savunmaya kaydırıyor. Ancak, bu konuda henüz kimse bir yanıt bilmiyor.” sözleriyle daha temkinli bir yaklaşım sergiledi.
Görüşlerinizi, bu gelişmelerin yazılım güvenliğindeki etkileri hakkında duymak isteriz.
