Claude Mythos Preview — Siber Güvenliğin Sıfır Noktası

Zafiyetlerin Kökeni ve Modern Savunma Mimarileri

AltHack Security

~4 min read · April 27, 2026 (Updated: April 27, 2026) · Free: Yes

Bir Modelin Açıklaması Neden Küresel Alarm Yarattı?

7 Nisan 2026 tarihinde Anthropic, yeni bir model duyurusunu hem teknik bir analiz belgesi hem de koordineli bir savunma girişimiyle eş zamanlı yayınladı. Bu kombinasyon, AI dünyasında daha önce görülmemiş bir şeydi. Çünkü bu kez duyurulan model halka açılmadı. Erişim, yaklaşık 40 şirketten oluşan davetiye bazlı bir konsorsiyuma kısıtlandı. Adı: Project Glasswing.

Peki neden bu kadar temkinli bir yaklaşım? Çünkü Mythos Preview, mühendisler bir güvenlik açığı aramasını gece başlatıp sabah uyandıklarında çalışan, eksiksiz bir exploit ile karşılaşabilecekleri bir model düzeyine ulaştı — üstelik bu mühendislerin resmi bir güvenlik geçmişi olması da gerekmiyordu.

Bu cümle, bir pazarlama kopyası değil. Anthropic'in kendi Frontier Red Team blog yazısından geliyor.

Sayılar Konuşuyor

OSS-Fuzz Benchmark'ı

Anthropic, modellerini OSS-Fuzz corpus'undan alınan yaklaşık bin açık kaynaklı repoya karşı düzenli olarak test ediyor ve elde edilen en kötü crash'i beş kademeli bir ölçekte değerlendiriyor: temel crash'lerden (kademe 1) tam kontrol akışı ele geçirmeye (kademe 5) kadar. Yaklaşık 7.000 giriş noktasında tek bir çalıştırmayla yapılan testte Sonnet 4.6 ve Opus 4.6, 150–175 arasında kademe 1 crash'i elde ederken, her biri yalnızca tek bir kademe 3 crash'ine ulaşabildi. Buna karşılık Mythos Preview, kademe 1 ve 2'de toplam 595 crash üretti, kademe 3 ve 4'te birkaç ek crash ekledi ve tam olarak yamalanmış on ayrı hedefte tam kontrol akışı ele geçirmeyi başardı.

Bu, sıradan bir benchmark atlama değil. Kademe 5, gerçek dünyada bir saldırganın bir sisteme tam olarak hakim olabileceği anlamına gelir.

Firefox JavaScript Engine Exploit Testi

Opus 4.6, Firefox'un JavaScript motorunda bulduğu güvenlik açıklarını — Firefox 148'de yamalananları — yalnızca birkaç yüz denemeden sadece iki kez çalışan bir JavaScript shell exploit'e dönüştürebildi. Mythos Preview ise aynı deneyde 181 kez çalışan exploit geliştirdi ve 29 ek denemede register kontrolü sağladı.

Fark yüzde cinsinden değil, niteliksel olarak bir kategori atlaması anlamına gelir.

The Last Ones: 32 Adımlı Kurumsal Ağ Saldırısı

AISI, "The Last Ones" (TLO) adını verdiği, ilk keşiften tam ağ ele geçirmeye uzanan 32 adımlı bir kurumsal ağ saldırı simülasyonu geliştirdi. Bu simülasyonu tamamlamak için deneyimli bir insan uzmanın ortalama 20 saat çalışması gerektiği tahmin ediliyor. On bağımsız çalıştırmada Mythos Preview, tüm saldırı zincirini uçtan uca üç kez başarıyla tamamladı. Bu, saldırı zincirinin karmaşık ardışık eylemlerini gerçek anlamda otonom olarak birbirine bağlayabildiğini ortaya koyuyor.

Uzman seviyesindeki görevlerde — Nisan 2025'ten önce hiçbir modelin tamamlayamadığı görevlerde — Mythos Preview yüzde 73 başarı oranına ulaştı.

Zero-Day Bulguları: Yaş Verileri

Erken testlerde Mythos Preview, OpenBSD'de 27 yıllık bir güvenlik açığını tespit etti; bu açık saldırganların sisteme yalnızca bağlanarak uzaktan çökertmesine izin veriyordu. Ayrıca yaygın kullanılan video işleme aracı FFmpeg'de 16 yıllık bir hata da keşfetti. Model bu açıkları herhangi bir insan müdahalesi olmaksızın bağımsız olarak buldu.

Teknik analizde belgelenen bir örnek: Mythos Preview, FreeBSD'nin NFS sunucusunda 17 yıllık bir uzaktan kod yürütme açığını bağımsız olarak tespit edip exploit geliştirdi. CVE-2026–4747 olarak kataloglanan bu açık, kimliği doğrulanmamış uzak bir saldırganın sunucuya tam root erişimi kazanmasına olanak tanıyan bir stack buffer overflow'dan kaynaklanıyordu.

Model Her Şeyi Yapamıyor

AISI'nin değerlendirmesi tek taraflı değil. Mythos Preview'in sağlam şekilde korunan sistemleri saldırıp saldıramayacağı konusunda kesin bir sonuca varılamadı. Gelecekteki çalışmalarda aktif izleme, uç nokta tespiti ve gerçek zamanlı olay müdahalesi içeren sertleştirilmiş ve savunulan ortamların simülasyonu kullanılarak yeteneklerin değerlendirilmesi planlanıyor.

Kısacası: model, savunmasız hedeflere karşı son derece etkili. Hardened, aktif savunma mekanizmaları olan hedeflere karşı performansı henüz netleşmiş değil.

Project Glasswing: Koordineli Savunma

Anthropic, Mythos Preview'i kullanarak son birkaç hafta içinde her büyük işletim sisteminde, her büyük web tarayıcısında ve diğer kritik yazılımlarda binlerce zero-day açığı tespit etti. Bu açıkların büyük çoğunluğu kritik düzeyde olup henüz yamalanmamış durumda. Anthropic

Mythos Preview, yaklaşık 40 şirket ve kurumdan oluşan bir gruba Project Glasswing çerçevesinde sınırlı biçimde dağıtıldı. Katılımcılar arasında Amazon Web Services, Apple, Cisco, CrowdStrike, Google, Microsoft ve NVIDIA yer alıyor. Business Today

Açıklanamayan bulgular söz konusu olduğunda Anthropic, kriptografik (SHA-3) taahhütleri yayınladı. Yama süreçleri tamamlandıktan sonra hash'lerin doğrulanabilmesi için tam raporlar kamuoyuyla paylaşılacak. Koordineli güvenlik açığı ifşası sürecinde standart "90 artı 45 günlük" pencere uygulanıyor; ancak bulguların hacmi göz önüne alındığında, açık kaynak geliştiricileri bunaltmamak için harici triage ekipleriyle sözleşmeler yapılıyor. Medium

Mavi Takım için Çıkarımlar

Güvenlik açıklarının N-day exploit olarak otonom biçimde yazılabilmesi, yama döngülerinin kısaltılmasını zorunlu kılıyor. Yazılım kullanıcıları ve yöneticilerin güvenlik güncellemelerini devreye alma süresini kısaltması, mümkün olan her yerde otomatik güncellemeyi etkinleştirmesi ve CVE düzeltmeleri içeren bağımlılık güncellemelerini rutin bakım yerine acil müdahale kapsamında ele alması gerekiyor.

Anthropic'in önerdiği savunma stratejisi: mevcut modelleri (Opus 4.6, Sonnet 4.6 gibi) güvenlik açığı keşfi, bulut ortamı yanlış yapılandırmalarının analizi, eski sistemlerden daha güvenli alternatiflere geçişin hızlandırılması ve olay müdahalesinin otomatikleştirilmesi için kullanmak.

Bu Bir Eşik Geçiş

Mythos Preview, yapay zekanın gerçek anlamda otonom bir operatör olarak hareket etme yeteneğindeki büyük bir sıçramayı temsil ediyor; karmaşık, çok adımlı görevleri uzun süreler boyunca minimal insan müdahalesiyle planlayıp yürütebiliyor. Bu teknolojik atılımın önemi siber saldırıların çok ötesine geçiyor. Aynı yetenek yakında yapay zekanın yazılım geliştirme, bilimsel araştırma, tedarik zinciri yönetimi veya finansal operasyonları özerk biçimde yönetmesine izin verebilir.

Anthropic, Mythos Preview'in bir platoya ulaştığını düşünmüyor. Birkaç ay önce dil modelleri yalnızca görece basit açıkları exploit edebiliyordu. Birkaç ay öncesinde ise anlamlı hiçbir açığı tespit edemiyorlardı. Önümüzdeki aylarda ve yıllarda modeller güvenlik açığı araştırması ve exploit geliştirme dahil her eksende gelişmeye devam edecek.

Analiz: AltHack Security Kaynak: Anthropic Frontier Red Team , Anthropic — Project Glasswing Duyurusu

#vulnerability-research #zero-day #infosec #technology #machine-learning

< Go to the original