Anthropic Glasswing Siber Güvenlikte Dengeyi Değiştiriyor
Bir ay. 10.000'den fazla yüksek ve kritik önem dereceli güvenlik açığı. Anthropic'in 22 Mayıs 2026'da yayınladığı güncellemeye göre Project Glasswing, yayınlanmamış Claude Mythos Preview modeliyle dünyanın en kritik yazılımlarında bu sayıya ulaştı. Asıl çarpıcı olan rakam değil, dengenin yön değiştirmesi: artık açık bulmak değil, bulunanları doğrulamak ve yamalamak darboğaz haline geldi. Bu yazıda Glasswing'in işleyişi, Mythos Preview'un performansı, partner sonuçları ve Türkiye için anlamı ele alınıyor.
Project Glasswing Nedir Ve Ne Amaçlıyor?
Project Glasswing, Anthropic'in Nisan 2026'da başlattığı işbirlikçi bir siber güvenlik girişimi. Temel fikri basit: yeni nesil yapay zeka modelleri saldırı amaçlı kullanılmadan önce, dünyanın kritik yazılımlarını aynı modellerle güvence altına almak. Girişim, internetin ve temel altyapının üzerinde çalıştığı yazılımları geliştiren ve bakımını yapan kuruluşlara odaklanıyor.
Partner listesi sektörün ağır toplarından oluşuyor. Fortune'da yayınlanan habere göre Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Microsoft ve Nvidia gibi şirketler Mythos Preview'a savunma amaçlı güvenlik çalışmaları için erişim aldı. Bunlara ek olarak kritik yazılım altyapısı geliştiren yaklaşık 40 kuruluş daha, kendi sistemlerini ve açık kaynak kodları taramak için modele erişebiliyor.
Anthropic girişime 100 milyon dolarlık model kullanım kredisi taahhüt etti. Linux Foundation ve Palo Alto Networks gibi isimlerin de aralarında bulunduğu yaklaşık 50 partnerle birlikte yürütülen çalışma, açık kaynak ekosistemine yönelik bağışlarla destekleniyor. Şirketin hedefi, modelin kontrollü ve savunma odaklı bir ortamda kullanılması.
Anthropic, bulunan açıkları hemen kamuya açıklamıyor. Yazılım sektörünün uzun süredir benimsediği kurala göre yeni açıklar, son kullanıcıların güncelleme yapabilmesi için keşiften 90 gün sonra duyuruluyor. Bu nedenle şirket şimdilik partnerlerin bulgularının tüm detaylarını paylaşmak yerine, modelin performansına dair örnekler ve toplu istatistikler sunuyor. Yamaların yaygın biçimde dağıtılmasının ardından daha fazla teknik ayrıntı yayınlanacak.
Claude Mythos Preview Nasıl Çalışıyor?
Claude Mythos Preview, Anthropic'in henüz kamuya açmadığı, en gelişmiş frontier modeli. Modelin ayırt edici özelliği, yazılım açıklarını otonom olarak tespit etmesi ve bu açıklar için çalışan exploit kodları üretebilmesi. Yani sadece "burada bir zafiyet var" demiyor; o zafiyetin nasıl sömürülebileceğini de gösteriyor. Bu yetenek, geleneksel tarama araçlarından temel bir farkı işaret ediyor.
Modelin gücü, güçlü ajansal kodlama ve akıl yürütme becerilerinden geliyor. Karmaşık kod tabanlarını analiz edebiliyor, ikili dosyaları kara kutu testine tabi tutabiliyor ve sızma testleri yürütebiliyor. Glasswing kapsamındaki çalışmalarda yerel zafiyet tespiti, uç nokta güvenliği ve sistemlerin penetrasyon testi gibi görevlere odaklanılıyor.
Peki bu kadar güçlü bir model neden gizli tutuluyor? Anthropic'in kaygısı net. Aynı yeteneklerin kötü niyetli ellerde büyük ölçekli, yapay zeka destekli siber saldırılara dönüşme ihtimali var. Şirket, Mythos Preview'u genel kullanıma açmayı şimdilik planlamadığını, yeterince güçlü güvenlik önlemleri geliştirilene kadar erişimi kapalı bir konsorsiyumla sınırlı tutacağını belirtiyor. Bu yaklaşımın arka planındaki risklerin bir kısmı, zararlı yapay zeka modelleri üzerine daha önce ele alınan tehdit senaryolarıyla doğrudan örtüşüyor.
Mythos Preview Önceki Modellerden Ne Kadar İleri?
Mythos Preview'un sıçraması en iyi karşılaştırmalı verilerle anlaşılıyor. Anthropic'in önceki frontier modeli Claude Opus 4.6, otonom exploit geliştirme görevlerinde başarısız oluyordu. Mythos Preview ise bağımsız testlerde mevcut tüm modellerin üzerinde performans gösteriyor.
Bağımsız değerlendirmeler bu tabloyu destekliyor. İngiltere'nin AI Security Institute kurumu, Mythos Preview'un çok adımlı siber saldırı simülasyonlarından oluşan iki "cyber range" testini de baştan sona çözen ilk model olduğunu bildiriyor. Bağımsız güvenlik platformu XBOW ise modeli web exploit kıyaslamasında mevcut tüm modellere göre belirgin bir sıçrama olarak tanımlıyor. ExploitBench ve ExploitGym akademik kıyaslamaları da Mythos Preview'u en güçlü performans gösteren model olarak işaretliyor.
Boyut | Claude Opus 4.6 | Claude Mythos Preview |
|---|---|---|
Otonom exploit geliştirme | Başarısız | Başarılı |
AISI cyber range | Tamamlanamadı | İki testi de bitirdi |
Açık bulma hızı (partner) | Referans | 10 kat artış |
Erişim | Genel | Kapalı konsorsiyum |
Bu fark, yapay zekanın siber güvenlikte bir eşik atladığını gösteriyor. OWASP'ın kurucusu ve Contrast Security'nin CTO'su Jeff Williams, CSO Online'da yayınlanan analizde durumu şöyle özetliyor.
"Mythos ilk taşı netleştiriyor: Frontier yapay zeka büyük ölçekli açık avına başlayınca, rutin keşif için insanlara ödeme yapmanın mantığı çökmeye başlıyor."
Jeff Williams, OWASP kurucusu, Contrast Security
Partnerler Hangi Sonuçları Aldı?
İlk ayın somut çıktıları, modelin laboratuvar vaadinden çok daha ileride olduğunu gösteriyor. Partnerlerin çoğu kendi yazılımlarında yüzlerce yüksek veya kritik önem dereceli açık buldu. Birçoğu açık bulma hızının 10 kattan fazla arttığını bildirdi.
Cloudflare örneği özellikle dikkat çekici. Cloudflare'in kendi blogunda paylaştığı verilere göre şirket, kritik yol sistemlerinde 2.000 bug buldu; bunların 400'ü yüksek veya kritik önem derecesindeydi. Üstelik modelin yanlış pozitif oranı, Cloudflare ekibine göre insan test uzmanlarından daha iyi seviyedeydi. Bu, hem hız hem de doğruluk anlamına geliyor.
Diğer partnerlerden gelen veriler de aynı yönü gösteriyor:
Mozilla: Firefox 150'de 271 açık buldu ve yamaladı. Bu, eski sürüm Firefox 148'de Claude Opus 4.6 ile bulunanın 10 katından fazla.
Palo Alto Networks: En son sürümünde her zamankinin 5 katı yama yayınladı.
Oracle: Ürünlerinde ve bulutunda açıkları öncekinden kat kat hızlı bulup düzeltiyor.
Microsoft: Yayınlayacağı yeni yama sayısının bir süre daha artmaya devam edeceğini bildirdi.
Model klasik zafiyet taramasının ötesinde de işe yaradı. Engadget'te aktarıldığı üzere Glasswing partneri bir bankada Mythos Preview, bir müşterinin e-posta hesabı ele geçirildikten sonra yapılan 1,5 milyon dolarlık sahte havale girişimini tespit edip engellemeye yardımcı oldu.
Açık Bulmak Kolay, Yamalamak Neden Zor?
Glasswing'in en önemli bulgusu bir rakam değil, bir tersine dönüş. Anthropic'in resmi güncellemesinde belirtildiği gibi, yazılım güvenliğindeki ilerleme eskiden yeni açıkları ne kadar hızlı bulabildiğimizle sınırlıydı. Artık sınır, yapay zekanın bulduğu çok sayıda açığı ne kadar hızlı doğrulayabildiğimiz, raporlayabildiğimiz ve yamalayabildiğimiz.
Rakamlar bu darboğazı net gösteriyor. Anthropic, 1.000'den fazla açık kaynak projesini tarayarak 23.019 sorun tespit etti; bunların 6.202'sini yüksek veya kritik önem dereceli olarak tahmin etti. Altı bağımsız güvenlik firması bu bulgulardan 1.752'sini inceledi ve %90,6'sını gerçek pozitif olarak doğruladı. Bu doğrulama oranı sürerse, model başka hiçbir açık bulmasa bile yalnızca açık kaynak kodda yaklaşık 3.900 yüksek veya kritik açık ortaya çıkarmış olacak. Ancak rapor edilen 530 yüksek/kritik açıktan yalnızca 75'i yamalandı, 65'i için kamuya açık uyarı yayınlandı.
Mythos Preview'un bulduğu somut bir örnek bu uçurumu görünür kılıyor. Model, milyarlarca cihazda kullanılan açık kaynak kriptografi kütüphanesi wolfSSL'de bir açık tespit etti ve bunun için çalışan bir exploit üretti. Bu exploit, bir saldırganın sahte sertifikalar üreterek bir banka veya e-posta sağlayıcısının görünüşte tamamen meşru sahte bir sitesini barındırmasına izin verebilirdi. Açık yamalanarak CVE-2026-5194 numarasıyla kayda geçti.
Bu yavaşlığın bir nedeni, açık kaynak projelerini gönüllü olarak sürdüren bakımcıların kapasitesi. Bazı bakımcılar Anthropic'ten açıklama hızını yavaşlatmasını istedi; çünkü yamaları tasarlamak için daha fazla zamana ihtiyaçları var. Mythos Preview ile bulunan yüksek veya kritik bir açık, ortalama iki haftada yamalanıyor. Sorunun bir boyutu da bakımcıların düşük kaliteli, yapay zeka üretimi hatalı bug raporlarıyla zaten boğuşuyor olması. Anthropic bu yükü hafifletmek için Open Source Security Foundation'ın Alpha-Omega projesiyle ortaklık kurdu ve bakımcıların raporları işleme kapasitesini artırmayı amaçlıyor.
Savunucular için pratik tavsiyeler gösterişsiz ama etkili. Yazılım geliştiriciler yama döngülerini kısaltmalı ve güncellemeleri kullanıcılar için kolaylaştırmalı. Ağ savunucuları ise NIST ve İngiltere'nin NCSC gibi kurumların ortaya koyduğu temel kontrollere odaklanmalı: çok faktörlü kimlik doğrulama, sıkılaştırılmış varsayılan yapılandırmalar ve ayrıntılı kayıt tutma. Anthropic, partnerleri için kod tabanı haritalama araçları ve otomatik tehdit modeli oluşturucular sağlıyor; Cisco da kendi Foundry Security Spec kaynağını açık kaynak hale getirdi.
Türkiye İçin Ne Anlama Geliyor?
Glasswing doğrudan Türkiye'den bir partnerle yürütülmüyor olsa da etkileri yerel ekosisteme de uzanıyor. Tespit edilen açıkların çoğu, internetin temelini oluşturan açık kaynak kütüphanelerinde. Bu kütüphaneler Türkiye'deki bankalardan kamu sistemlerine, e-ticaret platformlarından mobil uygulamalara kadar pek çok yerli sistemin de altında çalışıyor. Bir wolfSSL veya Firefox açığının yamalanması, zinciri kullanan herkesi ilgilendiriyor.
Türkiye'deki güvenlik ekipleri için asıl mesaj, Mythos sınıfı modellerin yakında daha geniş erişime açılacak olması. Anthropic, benzer yeteneklere sahip modellerin kısa süre içinde başka şirketler tarafından da geliştirileceğini belirtiyor. Bu, hem savunucular hem de saldırganlar için aynı araçların erişilebilir hale geleceği anlamına geliyor. Yama döngülerini şimdiden kısaltan, temel kontrolleri uygulayan ekipler bu geçiş döneminde avantajlı olacak.
Pratik tarafta, halihazırda kamuya açık modeller bile çok sayıda açık bulabiliyor. Anthropic, Claude Enterprise müşterileri için Claude Security aracını herkese açık beta olarak yayınladı; bu araç Claude Opus 4.7 ile üç haftada 2.100'den fazla kurumsal açığın yamalanmasına yardımcı oldu. Kod tabanlarında güvenlik açığı taraması yapmak isteyen Türk geliştiriciler için kullanılabilir araçlardan bazıları, daha önce ele alınan yapay zeka kod yazma siteleri arasında da bulunuyor. Benzer şekilde güvenlik açığı tespiti sunan ücretsiz yapay zeka kodlama araçları, küçük ekipler için iyi bir başlangıç noktası olabilir.
Topluluk Ne Düşünüyor?
Destekleyenler
Girişimi destekleyenler, savunucuların ilk kez saldırganlara karşı asimetrik bir avantaj kazandığını savunuyor. Kritik altyapının açıklarının saldırganlardan önce bulunup kapatılması, milyarlarca son kullanıcının riskini azaltıyor. Anthropic'in modeli genel kullanıma açmak yerine kapalı bir konsorsiyumla sınırlaması da sorumlu bir yaklaşım olarak görülüyor. Açık kaynak ekosistemine yapılan bağışlar ve bakımcılara sağlanan destek, ekosistemin tamamını güçlendiren adımlar arasında.
Eleştirenler
Eleştirenler önce darboğaza işaret ediyor. Bulunan açıkların %1'inden azının yamalanmış olması, zaten aşırı yüklü bir güvenlik ekosistemine yük eklemekten başka işe yaramayabilir. İkinci eleştiri zamanlamayla ilgili. Picus Security'nin analizinde belirtildiği gibi Glasswing, Anthropic'in önemli bir gelir kilometre taşına ve büyük bir işlem gücü anlaşmasına ulaştığı dönemde duyuruldu; bazı yorumcular projeyi sektör için faydalı bulsa da aynı zamanda Claude için güçlü bir pazarlama hamlesi olarak okuyor.
Sıkça Sorulan Sorular
Project Glasswing nedir?
Project Glasswing, Anthropic'in Nisan 2026'da başlattığı işbirlikçi bir siber güvenlik girişimi. Yaklaşık 50 büyük teknoloji ve güvenlik şirketi, yayınlanmamış Claude Mythos Preview modelini kullanarak kritik yazılımlardaki açıkları saldırganlardan önce bulup kapatmayı amaçlıyor.
Claude Mythos Preview kamuya açık mı?
Hayır. Mythos Preview şu an yalnızca kapalı bir partner konsorsiyumuna açık. Anthropic, modelin kötüye kullanımını önleyecek yeterince güçlü güvenlik önlemleri geliştirilene kadar genel kullanıma açmayı planlamadığını belirtiyor.
Mythos Preview bir ayda kaç açık buldu?
Partnerler birlikte 10.000'den fazla yüksek veya kritik önem dereceli açık buldu. Ayrıca Anthropic'in açık kaynak taramasında 23.019 sorun tespit edildi; bunların 6.202'si yüksek veya kritik olarak tahmin edildi.
Mythos Preview önceki modellerden ne kadar farklı?
Önceki frontier model Claude Opus 4.6 otonom exploit geliştirmede başarısız oluyordu. Mythos Preview hem bu görevi başarıyla yapıyor hem de bağımsız kıyaslamalarda mevcut tüm modellerin üzerinde performans gösteriyor.
Türkiye'deki geliştiriciler bu araçlara erişebilir mi?
Mythos Preview'a erişim sınırlı olsa da Anthropic, Claude Enterprise müşterileri için Claude Security aracını herkese açık beta olarak yayınladı. Kamuya açık modeller de halihazırda çok sayıda açık bulabiliyor.
Anthropic, Glasswing'i ABD ve müttefik hükümetler dahil yeni partnerlerle genişletmeyi planlıyor. Mythos sınıfı modellerin genel kullanıma açılması ise yalnızca daha güçlü güvenlik önlemleri devreye girdikten sonra gündeme gelecek. Açık bulmanın ucuzlaştığı, yamalamanınsa hala pahalı ve yavaş olduğu bu geçiş dönemi, önümüzdeki aylarda kritik yazılımın geleceğini büyük ölçüde belirleyecek.
Yorumlar (0)
Yorum yapmak için giriş yapmalısınız.
Giriş Yap