Anthropic'in AI Projesi 10.000'den fazla yazılım zafiyeti keşfetti

Anthropic’ın sınırlı AI modeli, insan güvenlik araştırmacılarının on yıllar boyunca yapamadığını haftalar içinde başardı. Şirketin siber güvenlik koalisyonu olan Project Glasswing, yıllardır yaygın olarak kullanılan sistemlerde tespit edilmemiş kalan binlerce sıfır gün açığı da dahil olmak üzere 10.000’den fazla yüksek ve kritik ciddiyetteki yazılım zafiyetini birlikte tespit etti.

Keşifler arasında: OpenBSD'de 27 yıllık bir zafiyet ve FFmpeg'de 16 yıllık bir hata bulunuyordu. İkisi de önceki tüm insan kod incelemeleri ve otomatik testlerden kurtulmuştu.

Anthropic, 7 Nisan 2026'da Claude Mythos Preview adlı henüz yayınlanmamış öncü modeli etrafında inşa edilen Project Glasswing'i başlattı. Temel fikir basit: extraordinary yetenekli bir yapay zekayı kritik yazılım altyapısına yönlendirip insanlar sürekli kaçırdığı güvenlik açıklarını aramasına izin vermek.

Claude Mythos Önizlemesi, açıklanmamış zafiyetleri otomatik olarak bulma ve kullanma konusunda o kadar etkili ki, Anthropic bunu genel publice yayınlamayı kararlaştırdı. Bunun yerine, modeli sadece savunma güvenliği işleri için özel erişim hakkı verilen bir teknoloji ve altyapı şirketleri koalisyonu kurdu.

Şu anda 40'tan fazla kurum bu girişime katılmaktadır. Anthropic, çaba desteklemek için model kullanım kredileri olarak en fazla 100 milyon dolar ve açık kaynak güvenlik geliştirmeleri için yaklaşık 4 milyon dolar ayırmayı taahhüt etmiştir.

2026 yılının Mayıs 22-23 civarında yayınlanan güncelleme, sayıların şaşırtıcı boyutlara ulaştığı an oldu. Ortaklar, 10.000'den fazla yüksek ve kritik ciddiyetteki güvenlik açıklarını birlikte rapor etti; bunların binlercesi sıfır gün olarak sınıflandırıldı, yani yazılım bakım ekibine ve daha geniş güvenlik topluluğuna önceki bilinmiyordu.

Zaafiyetleri bulmak bir şeydir, bunları düzeltmek tamamen başka bir sorundur.

Binlerce doğrulanmış yüksek ciddiyetteki bulgudan sadece 100’den az onarım dağıtılmiştir. Yapay zeka, endüstrinin bunları düzeltme kapasitesinden çok daha hızlı hataları keşfedebilmektedir.

Sıfır gün keşifleri özellikle çarpıcı. OpenBSD'deki 27 yıllık bir hata, neredeyse üç on yıl boyunca her güvenlik denetimi, her bulanıklaştırma kampanyası ve bu kod tabanını inceleyen her uzman gözün kaçırdığı bir şeyin bir AI modeli tarafından yakalanması anlamına geliyor. 16 yıllık FFmpeg hatası benzer bir hikâye anlatıyor. Bunlar gizli projeler değil. OpenBSD, güvenliğe odaklanmasıyla ünlüdür ve FFmpeg, dünya çapında sayısız medya uygulamasında yer almaktadır.

Anthropic'ın bu girişime sağladığı 100 milyon dolarlık kullanım kredisi, büyük AI laboratuvarlarının modellerinin çift amaçlı doğasını ne kadar ciddiye aldığını gösteriyor. Claude Mythos Preview'i geniş kitleye değil, onaylanmış bir koalisyona sınırlayarak Anthropic, sorumlu bir şekilde dağıtımı sergileme yanı sıra kurumsal güvenlik ekipleriyle derin ilişkiler kuruyor.