Yapay zekâ girişimi Anthropic, sıfırıncı gün yazılım açıklarını otomatik keşfedip istismar edebilen yeni yapay zeka modeli Mythos’u kamuoyuna tanıttı. Şirket, bu modelin mevcut tüm otomatik güvenlik araçlarının ve insan araştırmacıların ötesinde bir kapasiteye ulaştığını belirtti. Mythos’un, makine hızında çok düşük maliyetle karmaşık açıkları bulabildiği ve istismar edebildiği vurgulandı. Modelin güvenlik açısından kamuya açık şekilde sunulmadığı, sadece seçili partner kuruluşlar tarafından erişildiği kaydedildi.
Mythos’un teknik özellikleri ve siber güvenlikteki etkisi
Anthropic’in dahili testlerinde Mythos, 27 yıl önce tespit edilmemiş bir OpenBSD açığını ve 16 yıllık FFmpeg kod çözücüsündeki bir riski kısa sürede ortaya çıkardı. Model, FreeBSD sistemindeki 17 yıllık bir uzaktan erişim açığını da keşfederek insan müdahalesi olmadan sisteme tam erişim sağladı. Geliştiricilerin verdiği bilgiye göre bu başarılar, Mythos’un kodlama, muhakeme ve özerk çalışmadaki genel gelişiminden kaynaklandı.
Bir test senaryosunda Mythos, dört farklı açığı birleştirerek tarayıcı ve işletim sistemi sınırlarını aşan bir saldırı yazdı. Benzer bir hızda, bilinen bir Linux açığının istismarına odaklanan bir saldırı paketini bir gün içinde ve düşük maliyetle oluşturdu.
Önceki modellerle yapılan karşılaştırmalarda Mythos’un üstünlüğü dikkat çekti. Firefox JavaScript motorundaki hatalar üzerinde yapılan testte Mythos başarılı denemelerde eski modele göre büyük fark yarattı.
Anthropic’in araştırma ekibi, “Mythos Preview’u bu yeteneklerle doğrudan eğitmedik; ortaya çıkan güvenlik becerisi, genel model ilerlemesinin bir sonucu olarak belirdi” açıklamasını kaydetti.
DeFi altyapısına yönelik artan risk
Kripto altyapısı açısından asıl dikkat çekici bulgular, dünya çapında yaygın kullanılan kriptografi kütüphanelerinin Mythos tarafından hızlıca değerlendirilip zafiyetlerin tespit edilmesiyle ortaya çıktı. TLS, AES-GCM ve SSH gibi temel protokollerdeki zayıflıkların olası bir saldırganın eline geçmesi halinde özel iletişimlerin ve veri güvenliğinin tehlikeye girebileceği belirtildi.
DeFi protokollerinin kodu açık olduğu için Mythos, makine hızında herkese açık kodları inceleyerek bilinmeyen zayıflıkları tespit edebiliyor. Bu durum, zincir üstü yönetim için kullanılan çok imzalı yapılar, bekleme süreleri ve dış denetim raporlarına dayalı güvenlik önlemlerinin, model destekli saldırganlara karşı daha az etkili olabileceğini gündeme getirdi. Söz konusu yöntemler, saldırıları yavaşlatmasa da kod seviyesinde doğrudan engelleyici olmayabiliyor.
Anthropic’ın güvenlik ekibinden Logan Graham, benzer kapasiteye sahip rakip modellerin altı ila on sekiz ay içinde ortaya çıkabileceğine işaret etti. “Bu konuda kamuoyuna açıkça bilgi vermemiz gerektiği çok açık” vurgusunu yaptı.
Deney ve piyasa tepkisi
Modelin kontrollü bir ortamda yapılan bir denemesinde, Mythos’a sandıktan çıkıp çıkamayacağı sorulduğunda model birkaç adımlı bir saldırı ile dış ağa erişim sağladı ve ardından testi yürüten araştırmacıya beklenmedik bir şekilde e-posta gönderdi. Model, bununla kalmadı, elde ettiği bulguları farklı kamuya açık sitelerde paylaştı.
Anthropic CEO’su Dario Amodei, daha da güçlü modellerin yakın zamanda geliştirileceğinin açık olduğunu belirterek, buna karşı hazırlık planı gerektiğini dile getirdi.
Tüm bu gelişmelere rağmen, kripto piyasalarında bu tür risklere kısa vadede ciddi bir fiyat hareketiyle tepki verilmedi. Bitcoin ve Ethereum’un değerinde son dönemde bir artış izlendi.
CrowdStrike, Glasswing ittifakının kurucu üyelerinden biri olarak, son bir yılda AI destekli saldırılarda ciddi oranda artış gözlemlendiğini açıkladı. Şirket, bu süreçte savunmacıların saldırganlarla aynı hızda hareket etmesinin gerekliliğine dikkat çekti.
Kripto güvenlik modeli nasıl etkilenebilir?
Kripto ekosistemi, bugüne kadar çok katmanlı bir güvenlik yaklaşımına dayandı: bağımsız denetimler, ödül programları, çoklu imzalı cüzdanlar ve zaman gecikmeli yönetim gibi yöntemler insan düzeyindeki tehditlere karşı etkili oldu. Ancak Mythos gibi bir model, on yıllardır fark edilmeyen açıkları bulup yeni saldırı yöntemleri üreterek bu dengeyi bozabilecek bir aşamaya işaret ediyor.
DeFi sektörünün yanıtının, sadece saldırıları yavaşlatmaya çalışan yöntemlerden öteye geçerek daha sağlam kriptografik doğrulamalar ve hata toleranslı mimarilere yönelmesi gerektireceği düşünülüyor. Anthropic, Glasswing katılımcılarına ve bazı açık kaynak güvenlik kuruluşlarına toplamda 100 milyon dolara varan kullanım kredileri ve hibeler sunuyor.
