Anthropic, yeni Mythos modelini Nisan ayında tanıttığında, yazılım geliştiricilerine ciddi bir uyarıda bulundu. Model, yazılım güvenlik açıklarını tespit etme yeteneğiyle dikkat çekti ve iddialara göre, binlerce yüksek öncelikli hatayı ortaya çıkardı. Bu hataların düzeltilmeden modelin kamuya açık hale getirilemeyeceği belirtildi.

Mozilla’nın Firefox tarayıcı güvenlik araştırmacıları, bu sürecin pratikte nasıl işlediğine dair daha yakından bir bakış sunuyor. Mythos’un yazılım güvenliği üzerindeki etkisi ve güçlü yönleri hakkında yeni bilgiler paylaşıldı.

Mozilla, Perşembe günü yayımladığı bir yazıda, Mythos’un yüksek öneme sahip birçok hatayı gün yüzüne çıkardığını, bazı hataların kodda on yıldan fazla süredir aktif olmadığını açıkladı.

Bu durum, yapay zeka güvenlik araçlarının yalnızca altı ay önceki yeteneklerine göre önemli bir gelişmeyi temsil ediyor. Önceki nesil yapay zeka hata tespit araçları, güvenlik ekiplerini düşük kaliteli raporlarla ve yanlış pozitiflerle boğuyordu. Ancak Mozilla’nın araştırmacıları, son nesil araçların bu sorunu aştığını, özellikle de “ajans sistemlerinin” kendi çalışmalarını değerlendirebilme ve kötü sonuçları filtreleyebilme yeteneği kazandığını belirtiyor.

Nisan 2026’da Firefox, geçtiğimiz yılın tam bu zamanında yalnızca 31 hata çözmüşken, bu yıl 423 hata düzeltmesi ile önemli bir sıçrama gerçekleştirdi. Araştırmacılar, birkaç sıra dışı sandbox açığından, tarayıcının HTML elemanlarını işlerken karşılaştığı 15 yıllık bir hataya kadar 12 hata hakkında detaylar da paylaştı.

Mozilla’nın saygın mühendislerinden Brian Grinstead, TechCrunch’a verdiği demeçte, “Bu açıklar gerçekten birdenbire çok iyi hale geldi,” dedi. “Bu durumu, kendi iç taramalarımızda, dışardan gelen hata raporlarında ve sektördeki her türlü sinyalde gözlemliyoruz.”

Özellikle Firefox’un “sandbox” sisteminde tespit edilen güvenlik açıkları, karmaşık bir saldırının gerektirdiği yaratıcı ve titiz bir yaklaşımın sonucudur. Model, tarayıcı için tehlikeli bir yamanın yazılması ve yeni kodun uygulanmasıyla en güvenli bölgeyi hedef alması gereken bir süreç içeriyor. Açığın bulunması ve gösterilmesi, birden fazla aşamayı gerektiriyor.

Bu durumu daha iyi anlamak için, Mozilla’nın hata ödül programı, Firefox’un sandbox’ında bir açık bulan araştırmacılara 20,000 dolara kadar ödül veriyor. Ancak Grinstead, Mythos’un insan araştırmacılarda bulduğundan daha fazla sandbox sorunu tespit ettiğini belirtiyor: “Onları bulabiliyoruz ama bu teknikle bulduğumuz kadar yüksek bir hacimde olmuyor.”

Dikkat çekici bir diğer nokta, Firefox ekibinin hala yapay zeka kullanarak hataları düzeltmemesi. AI’dan her açık için yamanın yazılmasını istiyorlar, ancak elde edilen kod genellikle doğrudan uygulanamıyor ve bunun yerine bir insan mühendisine model oluşturuyor.

Grinstead, “Bu yazının konusu olan hatalar için, her biri bir mühendis tarafından yazılıp diğer mühendis tarafından gözden geçiriliyor,” diyor. “Otomatize edilebileceğini bulamadık.”

Yapay zekanın yeni yüksekliklerinin siber güvenlikteki güç dengesini nasıl değiştireceği hala belirsiz. Mythos tanıtıldıktan bir ay sonra, tespit edilen hataların çoğunun muhtemelen yamanmamış olduğunu belirtmek zor. Anthropic, sorumlu açığı açıklama normlarına özen gösterdi ancak kötü niyetli aktörlerin benzer teknikleri kullanması muhtemel.

Son olarak, Anthropic CEO’su Dario Amodei, yeni araçların nihayetinde savunucular için daha iyi bir pozisyon sağlaması konusundaki iyimserliğini dile getirdi: “Durumu doğru yönetebilirsek, bu açıkları düzelttiğimiz için başlangıçta bulunduğumuz durumdan daha iyi bir konumda olabileceğiz,” dedi. Grinstead ise, “Bu araçlar hem saldırganlar hem de savunucular için kullanışlı; sahip olduğumuz araç, avantajı bir miktar savunmaya kaydırıyor. Ancak, bu konuda henüz kimse bir yanıt bilmiyor.” sözleriyle daha temkinli bir yaklaşım sergiledi.

Görüşlerinizi, bu gelişmelerin yazılım güvenliğindeki etkileri hakkında duymak isteriz.

Yeni AI Araçlarının Etkisi

Son günlerde yapay zeka (AI) modellerinin siber güvenlik üzerindeki etkileri yoğun bir şekilde tartışılmakta. Mozilla, bu hafta Firefox 150 tarayıcı sürümünü duyururken, 271 güvenlik açığını Anthropic’in Mythos Preview araçlarıyla tespit ettiklerini açıkladı. Firefox ekibi, AI araçlarının ortaya çıkardığı hataları yönetmek için kaynak ve disiplin harcadıklarını belirtiyor. Bu çabanın, Mozilla kullanıcılarının güvenliği için kritik bir öneme sahip olduğu vurgulanıyor. Zira bu yetenekler, kaçınılmaz olarak saldırganların eline geçecektir.

AI ile Güvenlik Açığı Bulma Süreci

Mozilla’nın Firefox ekibi, AI araçlarının güvenlik açığı bulma süreçlerini nasıl dönüştürdüğünü gözler önüne seriyor. Firefox’un baş teknoloji sorumlusu Bobby Holley, “Artık otomatik tekniklerle, güvenlik açığına neden olan hataların pek çoğunu tespit edebiliyoruz,” dedi. Geçmişte, Firefox ve diğer organizasyonlar, yazılımın hata ayıklama sürecinde hem otomatik araçlar hem de insan analizi yöntemlerine güveniyorlardı. Ancak, bu araçların saldırganların elinde de mevcut olduğu unutulmamalı.

Saldırganlar için hataları bulmak her zaman yüksek maliyetler gerektirirken, yeni AI yetenekleri bu durumu değiştiriyor. Holley, “Bir yazılımda gömülü birçok hata mevcut ve artık bunlar kolaylıkla keşfedilebilir,” şeklinde bir değerlendirme yaptı.

AI Modellerinin Geleceği

Yeni AI modelleri, yazılım güvenliğini ele geçiren bir “bootcamp” işlevi görecek. Tüm yazılımların bu değişimi yaşaması gerekecek. Hem Anthropic hem de OpenAI, bu geçiş sürecini hızlandırmak için birçok büyük oyuncunun katılımını sağlamaya çalışıyor.

Holley, açık kaynak yazılımların bu süreçten en fazla etkilenecek alanlardan biri olduğunu belirtmekte. Açık kaynak projeleri genellikle sınırlı kaynaklarla yönetilmekte ve bu durum onların güvenlik açıklarına karşı savunmasız kalmalarına neden olmaktadır. “Abandonware” olarak adlandırılan, güncellenmeyen yazılımlar ise bu krizden en fazla etkilenecek projelerden biridir.

Mozilla’nın Mythos ile İş Birliği

Mozilla, Mythos Preview’a erişim sağlayarak Anthropic ile iş birliği içinde çalışıyor. Ancak, Mozilla şu anda bu iş birliğinin daha geniş bir konsorsiyum olan Project Glasswing’in resmi bir parçası değil. Holley, “Geçmişteki araçlarla bulduğumuz hataların miktarı ve doğası değişecek,” diye ekliyor.

Sonuç

Sonuç olarak, Mozilla’nın Firefox tarayıcısının yeni sürümü, AI tabanlı güvenlik açığı tespit araçlarının etkisinin somut bir örneğini sunmakta. Bu yeni teknolojiler, siber güvenlik dünyasında köklü değişimler yaratma potansiyeline sahip. Ancak, bu geçiş süreci, yazılım geliştiricileri için zorlu bir süreç olabilir ve koordineli çalışma gerektirecektir. Her bir yazılımın bu yeni yapay zeka çağında kendini güncelleyebilmesi, güvenli bir dijital dünya için elzemdir.

Teknoloji

US-1

Mozilla ile yaptığı yeni güvenlik iş birliği çerçevesinde, Anthropic, Firefox’ta 22 ayrı güvenlik açığı tespit etti. Bunların 14’ü “yüksek seviye” olarak sınıflandırıldı. Bu hataların çoğu, Şubat ayında yayınlanan Firefox 148 sürümünde düzeltildi, ancak bazı düzeltmeler bir sonraki sürümü beklemek zorunda kalacak.

Anthropic ekibi, iki hafta süresince Claude Opus 4.6 kullanarak çalıştı. Öncelikle javascript motoruna odaklanarak, daha sonra kod tabanının diğer kısımlarına genişledi. Ekip, Firefox’a odaklanmalarının nedenini “hem karmaşık bir kod yapısına hem de dünyanın en iyi test edilmiş ve güvenli açık kaynak projelerinden biri olmasına” bağladı.

Özellikle, Claude Opus’un güvenlik açıklarını bulma konusunda yazılım geliştirme yeteneklerinden çok daha başarılı olduğu belirtildi. Ekip, kanıt niteliğinde istismarlar oluşturmak için API kredilerinden toplamda 4,000 dolar harcadı, ancak sadece iki durumda başarılı olabildiler.

Bu durum, yapay zeka araçlarının açık kaynak projeleri için ne kadar güçlü olabileceğinin bir hatırlatıcısı; kullanışlı olanlarla birlikte birçok kötü birleştirme isteği de getirse de, potansiyeli görmezden gelmek mümkün değil.

Bu konudaki düşünceleriniz neler?

Mozilla, tarayıcılarına yapay zeka özellikleri ekleyen birçok firmanın aksine, kullanıcılarına bu özellikleri kapatma imkanı sunmaya hazırlanıyor. 24 Şubat tarihinde gelecek olan bir güncelleme, Firefox’un ayarlar menüsüne yeni bir “Yapay Zeka Kontrolü” seçeneği ekleyecek. Bu özellik, kullanıcıların yerleşik yapay zeka sohbet botuna, çevirilere, yapay zeka bazlı sekme gruplama önerilerine ve daha fazlasına erişimi etkinleştirip devre dışı bırakmalarına olanak tanıyacak.

Yapay zeka kontrollerinin getireceği değişim hakkında ne düşünüyorsunuz?