Ana Sayfa
Haberler
Detaylar

Claude Opus 4.8, Zcash Protokolü'nde 4,5 Milyar Dolarlık Bir Hata Keşfetti

icon MarsBit
Paylaş
Share IconShare IconShare IconShare IconShare IconShare IconCopy
AI summary iconÖzet

expand icon
Anthropic'ın Claude Opus 4.8'ini kullanan bir güvenlik araştırmacısı, Zcash'in Orchard protokolünde sınırsız token üretimi olan $4,5 milyarlık bir hata buldu. Hata, 29 Mayıs 2026'da keşfedildi ve Zcash iki gün sonra bunu doğruladı. Zcash'in fiyatı, 5 Haziran'daki açıklamadan sonra %50 düştü. Bu olay, yapay zekânın açıkların bulunması ve istismar edilmesini kolaylaştırdığını ve bakım ekiplerine baskı artırdığını gösteriyor. Korku ve açgözlülük endeksi bu tür risklere tepki verdiğinde, izlenecek altcoin'ler değişebilir.

Yazı: Sleepy

Birisi, Claude Opus 4.8 kullanarak bir kripto paranın piyasa değerini 4,5 milyar dolar kaybeden bir hata buldu.

Olay, bir güvenlik denetimiyle başladı. Zcash, işlemlerini sıfır bilgi kanıtlarıyla koruyan eski bir gizlilik ağıdır ve Orchard, bu gizlilik işlem yeteneğinin çekirdeğidir.

29 Mayıs'ta, güvenlik araştırmacısı Taylor Hornby, Shielded Labs tarafından talep edilen protokol denetiminde, Orchard'da saldırganların var olmaması gereken tokenleri yaratabildiği, yani "sınırsız emisyon" yapabileceğini gösteren ciddi bir açığı keşfetti.

Zcash, birkaç gün içinde acil bir yükseltme gerçekleştirdi ve yetkililer, açıklığın gerçekten var olduğunu doğruladı, ancak bunun zaten kullanılıp kullanılmadığı konusunda emin olamadı. 5 Haziran'da yapılan resmi açıklamadan sonra Zcash %50 düştü.

Anthropic'ın Opus 4.8, 28 Mayıs'ta yayınlandı ve bir gün sonra bu açığa rastlandı.

Mythos değil, Opus

Zcash için bu olay korkutucu, AI güçlü değil, bu sefer çok sıradan güçlü oldu.

Bu önceden, güvenlik sektörü gerçekten Anthropic'in Claude Mythos Preview'ından korkuyordu. Anthropic, Nisan 2026'da bir siber güvenlik yetenekleri değerlendirmesi yayınladı ve Mythos Preview'ın testlerde ana akım işletim sistemleri ve tarayıcılardaki sıfır gün açıklarını tanımlayıp kullanabildiğini belirtti; bazı açıklar çok gizliydi ve onlarca yıldır saklı kalmıştı, OpenBSD'deki bir hata ise 27 yıl öncesine kadar uzanıyordu.

Değerlendirme, güvenli bir arka plana sahip olmayan bir mühendisinin, Mythos Preview için gece boyu uzaktan kod yürütme açığı aramasına ve sabah uyanınca tamamen işlevsel bir saldırı kodu kümesi görmesine izin verebileceğini de belirtiyor.

Bu, geçmişte sadece az sayıda kişinin uzun süre elde edebildiği bir yetenek artık herkesin her an çağırabildiği bir hizmet haline gelmiştir. Bu yetenek kendisi nötrdür; fark, kimin kullandığı ve bunu ne amaçla kullandığındadır.

Anthropic bunun farkındadır. Bu nedenle Project Glasswing adlı bir proje başlatarak, Mythos Preview’ı yalnızca az sayıda kuruma vererek savunma amaçlı güvenlik çalışmaları yapmıştır. Aynı zamanda, bu düzeydeki modellerin herkese açık hale gelmeden önce daha güçlü korumalara ve daha katı kullanım kısıtlamalarına ihtiyaç duyduğunu kabul etmiştir.

Orchard

Zcash olayında, teknik ekiplerin elindeki, hâlâ kilitli olan Mythos değil, yayınlanmış, kullanılabilir ve sıradan kullanıcıların iş akışına girmiş olan Opus 4.8'dir.

Yapay zeka, güvenlik alanına girerek küçük takımlara büyük takımların denetim yeteneğini kazandırıyor. Geliştiricilerin hataları daha hızlı bulmasını ve saldırganların sistemleri daha hızlı anlamasını sağlıyor.

Ayrıca, en tehlikeli olan en güçlü model olmayabilir,而是 o kadar güçlü, o kadar ucuz ve o kadar yaygın olan modeldir.

Model ne kadar yaygın olursa, onu kullanan insan sayısı o kadar artar. Soru artık AI'nın açıkları bulup bulamayacağı değil: Herkes bulabiliyorsa ne olur?

Hata bulmak halk hareketi haline geldi

Yapay zeka açıkları bulmayı ucuzlaştırdıktan sonra, iki şey ortaya çıkacaktır.

Bir türü sahte, görünüşte çok gerçekçi ama doğrulanamayan çok sayıda güvenlik raporudur. Diğer türü ise gerçek; daha önce sistem derinliklerinde saklı kalıp uzmanların haftalar hatta aylar harcayarak bulabildiği açıklar, artık daha hızlı şekilde ortaya çıkarılmaya başlanmıştır.

İlki bakıcıları bastıracak, ikincisi sistemi aşacak. Daha da kötüsü, ikisi aynı anda gelecek.

Siber güvenlik, klasik bir hikâyeye sahiptir: beyaz şapkalılar açıkları bulur, sorumlu bir şekilde bildirir, üretici düzeltir, kullanıcılar fayda görür.

Geçmişte birçok kez dünya gerçekten bu hikâyeye göre işliyordu. Ancak AI, “hata bulma” eşiğini düşürdüğünde ve herkesin açık modelleri kullanarak hata bulabilmesiyle, ödüller kazanmak ve itibar artırmak isteyen büyük bir kalabalık içeri girdi. Bunların çoğu, sadece bir uyarı metnini kopyalayıp modelden görünüşte iyi bir rapor üretmesini istiyor. Raporda gerçek olmayanlar da olabilir.

Ancak gerçek mi sahte mi, bakıcıların ciddiye alması gerekir.

Orchard

OpenSSF, 2026 Şubat'ta "AI Çöp Raporları" üzerine bir tartışma düzenledi ve açık kaynak bakımçılarının kalitesiz, AI tarafından oluşturulan güvenlik açıkları raporlarıyla nasıl başa çıkacaklarını inceledi. curl, 2025 ortalarına kadar ödülü kazanmak için yapılan başvuruların sadece %5'inin gerçek bir açıklığa işaret ettiğini, yaklaşık %20'sinin ise AI tarafından oluşturulan düşük kaliteli içeriklere benzediğini bildirdi. OpenSSF, bu tür raporların, sadece insan dikkatini hedef alan bir DDoS saldırısı gibi olduğunu söyledi.

Açık kaynak bakım sorumluları müşteri hizmetleri merkezi değildir. Bunların çoğu maaş almaz, güvenlik ekibi yoktur ve nöbet çizelgesi bulunmaz. Ancak bir proje, dünyanın sayısız ticari sistemini destekleyebilir; açık kaynak sayesinde milyonlarca dolar tasarruf eden şirketler, bakım sorumlularına hiçbir zaman para ödemeyebilir; ancak bir sorun çıktığında hepsi hemen size neden daha önce düzeltmediğinizi sorar.

curl, güvenlik ödül programını insan kaynaklarının dayanamaması nedeniyle kapattı. Güvenlik raporları bir savunma hattının parçasıydı, ancak raporlar spam ile dolduğunda bu savunma hattı arkada duran insanları tüketecek hale geldi.

Yapay zeka, daha fazla kişinin güvenlik açıkları raporlama yeteneğini sağladı, ancak açıkların gerçekliğini değerlendirme yeteneğini artırmadı. Bir modelin bir rapor oluşturabilmesi, o raporu anlayabilmek anlamına gelmez; bir doğrulama kodunu çalıştırmak, bunun ne kadar büyük bir etkiye sahip olduğunu açıklayabilmek anlamına gelmez.

Daha da önemlisi, aslında AI ile sonsuz sayıda boşluk bulabileceğimiz bir dünyada yaşıyoruz.

Geçmişteki huzurumuz şanslıydık.

İnternet, çalışabilen her şeyin güvenilir olduğunu düşündürür.

Telefonla ödeme yapabilir, metroya kodla girebilir, hastanede randevu alabilirsiniz; bulut depolamada hâlâ on yıl önce çektiğiniz bir fotoğraf bile var, siz unuttunuz, o unutmadı. Bu şeyler her gün çalışıyor, bu yüzden hiçbir sorun yokmuş gibi varsayıyoruz. İnsanların teknolojiye güveni çoğu zaman güven değil, şüphe etmek için can istememesi.

Kod, sürekli kat eklenen eski bir binaya benzer; alt katlarda eski protokoller ve kütüphaneler bastırır, üst katlarda geçici ihtiyaçlar ve “önce yayınla” yaklaşımı yığılır, en tepede ise kimse silmeyi cesaret edemeyen miras kodlar yığılır. Bina içindeki ışıklar yanıyor, asansör hâlâ yukarı aşağı gidiyor, yönetici de her şeyin normal olduğunu söylüyor. Ancak duvarların içinde çatlaklar olup olmadığı kimse bilmiyor.

Orchard

Heartbleed tipik bir örnek. OpenSSL'de bir açığa sahipti ve saldırganların sunucu belleğindeki özel anahtarları ve şifreleri okumasına izin veriyordu; 2014'e kadar keşfedilmedi ve düzeltilmedi. O zamana kadar, iki yıldan fazla gizli kalmıştı ve o dönemde dünyadaki aktif sitelerin %60'ından fazlası etkilenen sunucular üzerinde çalışıyordu. İki yıl boyunca, neredeyse tüm internet çıplak kaldı ve kimse bunu bilmiyordu.

Ayrıca sudo için Baron Samedit. 2021'de Qualys bu açıklığı ortaya çıkardığında, sudo'nun Unix/Linux dünyasının en yaygın kullanılan yetki aracılarından biri olduğunu ve bu açıklığın sudo'da neredeyse on yıl boyunca var olduğunu belirtti.

Benzer örnekler çoktur. Bunları bir arada gördüğünüzde, bugün kadar güvenli bir şekilde internette dolaşabilmemizin aslında oldukça şanslı olduğumuzu anlarsınız.

Bu açıklar neden bu kadar uzun süre fark edilmedi?

Cevap basit: Açığı bulma maliyeti çok yüksek.

Maliyet sadece para değil, aynı zamanda zaman ve sabır da. Kodu okumalı, ortam kurmalısınız, protokolü anlamalısınız, sınır durumlarını yeniden oluşturmalısınız, doğrulama kodu yazmalısınız, etki alanını değerlendirmelisiniz ve yanlış pozitifleri ayırt edebilmelisiniz. Bazen program bir gece boyu çalışır ama sonuç alamazsınız, bir yolun sonuna kadar ilerlersiniz ve aslında geçersiz olduğunu fark edersiniz. Gerçek dünyadaki güvenlik araştırmacıları ve hackerlar genellikle parçalanmış detaylarla karşılıklı olarak zorlanır.

Geçmişte birçok açığın bu kadar uzun süre saklanabilmesinin nedeni, bunların o kadar gizemli olması değil, bunu aramaya istekli, yetkin ve sürekli devam eden insanların çok az olmasıydı.

AI, tam olarak bu maliyet yapısını değiştiriyor.

Geçmişte köşeler çok, el feneri azdı. Şimdi el fenerleri toptan başlıyor.

Aynı el feneri, çatlakları gösterebilir, aynı zamanda saldırmak için uygun yerleri de gösterebilir. “Keşif”i ucuzlattığı anda, “saldırı”yı da aynı ölçüde ucuzlatır. Bir kişi bugün bunu açık kaynak projelerine düşük kaliteli bir rapor sunmak için kullanabilir, yarın aynı yöntemi bir şirketin sistemini taramak için kullanabilir; bugün delik ödülünü düşünür, yarın ise zincirdeki varlıkları düşünür.

Normal internet erişiminin ardında

Gerçek bir olay yaşanmadan önce, "internet güvenliği"nin varlığını hissetmeyiz.

Alipay’i açıyorsunuz, QR kodu tarıyorsunuz, ödeme yapıyorsunuz, para hesabınıza geliyor, tüm süreç belki üç saniyeden az sürüyor. Arkasında kaç risk kontrol kuralı, cihaz izi, davranış tanıma, sahtekarlık karşılığı, güvenlik açıkları yanıtı ve acil durum planı olduğu düşünmüyorsunuz.

Mayıs 2026'da AntSRC, Alipay, Huabei, Jiebei, Ant Wealth, MyBank, Ant Digital Technology ve Ant International gibi hizmetleri kapsayan bir "Avcı Operasyonu" güvenlik açığı ödüllendirme etkinliği düzenledi. Ödeme işlemi, fon ve fatura ürünlerindeki kritik ve ciddi açıklar için en fazla 5 kat ödül verildi ve bu ödül 71.500 yuan'a kadar ulaşabildi.

Büyük şirketler aslında, kendi iç ekibinin tüm sorunları tek başına keşfedemeyeceğini biliyor, bu yüzden dışarıdan beyaz şapkalıları resmi süreçlere dahil etmek zorunda. Güvenlik, uzun bir iş birliği zincirine benzer: biri saldırıları bulur, biri doğrular, sınıflandırır, onarır, yayınlar ve aynı zamanda normal kullanıcıları yanlışlıkla etkilememek için özel olarak izleyen biri de olmalıdır. Bu zincirin her halkası kesintiye uğramadan devam etmelidir.

AliCloud, 2025 yılı Ekim ayı güvenlik durum raporunda, bulut platformunun günlük ortalama 6,245 milyar saldırıya karşı müşterilerini koruduğunu ve 27.500 kötü amaçlı IP adresini engellediğini belirtti; aynı ay 102.800 DDoS saldırısını tespit edip engelledi ve bu saldırıların tepe hızı 2100 Gbps oldu.

Orchard

Günlük hayatta所谓的「normal internet kullanımı」, aslında güvenlik mühendislerinin binlerce anormal durum arasından bize kazandırdığı dar bir yoludur. İnternet asla sessiz değildir.

Açık kaynak koruyucuların bütçesi yok, vardiyalı çalışma planları yok, acil durum ekipleri yok; büyük şirketler bunları satın alabilir. Ancak büyük şirketler bile, anormallikleri normal kullanıcıların hissetmediği bir düzeyde bastırmak için uzun bir insan işbirliği zincirine ihtiyaç duyar.

Bu uzun ve kırılgan iş birliği zinciri, AI henüz büyük ölçekli olarak dahil olmamışken zaten tam kapasitedeydi. Şimdi içine katlanarak açıklar ve raporlar ekliyorsunuz; savunma tarafındaki insanlar yeterli mi?

Sızıntı bulunduktan sonra kim düzeltecek

ISC2'nin 2024 Güvenlik Elemanları Raporu'na göre, küresel düzeyde aktif olarak çalışan siber güvenlik uzmanlarının sayısı yaklaşık 5,5 milyon iken, yetenek açığı 4,8 milyon olarak tahmin ediliyor ve bu rakam bir önceki yıla göre %19 artış gösteriyor. Rapor, bu "açığın", iş ilanları sitesindeki pozisyon sayısı değil, organizasyonların tamamen korunabilmek için ihtiyaç duydukları kişi sayısı ile mevcut uygun aday sayısı arasındaki fark olduğunu özellikle açıklıyor.

Bu rakamların anlamı basit: çok fazla boşluk var, yeterli insan yok.

Ayrıca sadece kişi sayısı yetersiz değil, karmaşık işleri yapabilecek yetenekli kişiler de yetersiz. ISC2, anket katılımcılarının %67'sinin kurumlarında siber güvenlik personeli eksikliği olduğunu, %58'inin ise bu eksikliğin kurumlarını önemli risklere maruz bıraktığını belirtti. Katılımcıların %31'i güvenlik ekiplerinde giriş seviyesi çalışan olmadığını, %15'i ise 1-3 yıllık deneyime sahip başlangıç seviyesi çalışanların olmadığını ifade etti. Birçok kurum hem personel hem de bir sonraki nesli yetiştirmek için gerekli altyapı eksikliği yaşıyor.

İnsan alamamakten daha sorunlu. İnsan alamamak bugünün sorunu; ilk seviye çalışan alamamak, gelecekte de insan alamamanız demek.

Orchard

Türkiye'deki "AI Çağı Siber Güvenlik Endüstrisi İnsan Kaynakları Gelişim Raporu" da bir veri seti sunuyor: 2025 yılında, anketlere katılan meslektaşların %46,2'sinin brüt yıllık geliri 200.000 ile 300.000 Yuan arasında. Piyasa, karmaşık tehditleri gerçekçi bir şekilde ele alabilen ve olaylar sırasında karar verebilen temel yetkinliklere sahip bireyler için ödeme yapmaya istekli çünkü bu tür yetkinlikler son derece nadir. Rapor ayrıca, meslektaşların %56,5'inin AI'nın onları karmaşık tehditlerin analizine daha fazla odaklanmaya yönlendirdiğini, %33,0'unun ise uygulama düzeyinden strateji belirleme düzeyine geçiş yaptığını belirtiyor.

Bu nokta çok önemlidir.

Şu anda en çok ihtiyacımız olan, gece yarısı bir açığı okuyup, etkisini değerlendirebilen, zincirin üst ve altını koordine edebilen ve düzeltme yazabilen kişidir. Güvenlik, ani bir fikirle yapılan bir iş değildir; bu, kirli ve yorucu bir iştir. “Siber güvenlik” kelimesini parçaladığınızda, içinde yalnızca yanlış uyarılar, suçlanma, bitmeyen düzeltmeler, bitmeyen toplantılar ve sabah üçte sizi uyandıran o telefon vardır.

Black death bakterisi asla kaybolmamıştır

Kamü, "Veba" adlı bir roman yazdı.

Hikâye Kuzey Afrika'da sıradan bir kasabadan geçiyor. Salgın aniden patlar, kapılar kapanır ve herkes içerde mahsur kalır. Günlük yaşam bir gece içinde parçalanır. İnsanlar önce korkuyla başlar, sonra kayıtsızlaşır, ardından alışır. Salgın nihayet geriler ve kapılar yeniden açıldığında, sokaklar tekrar gülüşlerle dolar.

Kamü, romanın sonunda şunu söylüyor: "Tıp kayıtlarına göre, veba bakterisi asla tamamen yok olmaz veya kaybolmaz; bunlar mobilya, giysiler ve çarşaf içinde onlarca yıl hayatta kalabilir; odalarda, bodrumlarda, valizlerde, mendillerde ve çöp kağıtlarında sabırla beklerler. Belki bir gün, veba tekrar kendi fare kolonilerini uyandırır ve onları mutlu bir şehrin üzerine gönderir, insanları yeniden felâketlere uğratır ve yeniden ders almayı sağlar."

Bu cümleyi ağ açıklarını tanımlamak için çok uygun buluyorum.

O, keşfedildiği günde doğmadı. Zaten kodların içinde uzuyordu, geçmişte kimse nefesini duymadı, bu yüzden sessizliği güvenli olarak yanlış anladık.

Günlük hayatlarımız, artık şüphe etmeden kabul ettiğimiz şeyleri kod üzerinde koşuyor. Kodda eski borçlar var; eski borçlar ödenmesi gereken zamanlarda ödenmiyordu, çünkü tahsilat yapan azdı. AI geldikten sonra, tahsilat yapanlar aniden arttı.

Daha fazla haker olmasından daha korkutucu olan, sistemin diğer tarafında sorunları çözen kişilerin orantılı olarak artmamasıdır.

Bu, AI güvenliği çağının en zorlu yanı. Yetenekler kendiliğinden yayılır, sorumluluklar değil; bir açığı keşfetmek giderek daha ucuz hale gelirken, onarılmak hâlâ eskisi kadar pahalı. Zarar, senaryolarla sonsuza kadar kopyalanabilir; ancak güven, bir sistem, bir ekip olarak yavaş yavaş birikir.

Yapay zeka, interneti bir gece içinde yok etmeyecek. Yaptığı şey, ışıkları yakmak gibidir. Sonunda anlıyoruz ki, dijital yaşam, otomatik olarak çalışan doğal bir düzen değil, insanların riskleri gün geçtikçe bizi hissetmediğimiz seviyeye düşürmesidir.

Sonradan gerçekten pahalı olan, açıkları bulmak değil, bu açıkları sırayla tamamlayacak yeterli sayıda kişinin hâlâ var olup olmamasıdır.

Kaynak:Orijinalini göster
Yasal Uyarı: Bu sayfadaki bilgiler üçüncü şahıslardan alınmış olabilir ve KuCoin'in görüşlerini veya fikirlerini yansıtmayabilir. Bu içerik, herhangi bir beyan veya garanti olmaksızın yalnızca genel bilgilendirme amacıyla sağlanmıştır ve finansal veya yatırım tavsiyesi olarak yorumlanamaz. KuCoin, herhangi bir hata veya eksiklikten veya bu bilgilerin kullanımından kaynaklanan sonuçtan sorumlu değildir. Dijital varlıklara yapılan yatırımlar riskli olabilir. Lütfen bir ürünün risklerini ve risk toleransınızı kendi finansal koşullarınıza göre dikkatlice değerlendirin. Daha fazla bilgi için lütfen Kullanım Koşullarımıza ve Risk Açıklamamıza bakınız.