Yapay zeka alanında önemli çalışmalara imza atan Anthropic, yeni siber güvenlik modeli Mythos'u sınırlı bir kullanıcı grubuna duyurdu. Şirketin, Amazon, Apple ve Microsoft gibi büyük teknoloji devleriyle yaptığı anlaşmalarla, projenin detaylarının internete sızdırılmasından kısa bir süre sonra bu duyuru geldi.
Anthropic tarafından yapılan açıklamaya göre, Claude Mythos Preview adını taşıyan bu yeni model, yalnızca Broadcom, Cisco ve CrowdStrike gibi güvenilir kuruluşların erişimine açık olacak. Şirket ayrıca, Amerikan hükümetiyle de modelin kullanımı hakkında görüşmelerin sürdüğünü belirtti.
Bu duyuru, geçtiğimiz ay San Francisco merkezli şirketin yaşadığı bir veri sızıntısının ardından geldi. Sızdırılan bilgiler arasında Mythos modeliyle ilgili tanımlamalar ve diğer belgeler de bulunuyordu.
Geçtiğimiz hafta ise Anthropic, kişisel asistanı Claude Code'un kaynak kodunun kamuoyuna açıklanmasıyla ikinci bir güvenlik olayı yaşadı. Bu iki olay, Anthropic'in veri güvenliği ve uygulamalarına dair endişeleri beraberinde getirdi. Şirket her iki durumda da verilerin kamuoyuna açıklanmasından 'insan hatasını' sorumlu tuttu.
Mythos modeli, haftalardır iş ortaklarıyla birlikte kullanılıyordu. 'Genel amaçlı' bir model olsa da, şirketin siber güvenlik alanındaki yetenekleri nedeniyle bir modelin erişimini sınırlaması ilk kez gerçekleşti.
Anthropic'in belirttiğine göre, yazılım insan kapasitesinin ötesinde ölçekte siber güvenlik açıklarını tespit edebiliyor. Ancak aynı zamanda bu açıkları istismar etme yollarını da geliştirebileceği, bu durumun kötü niyetli kişiler tarafından kullanılabileceği ifade edildi. Şirket, modelin siber güvenlik uygulamalarını 'yeniden şekillendirebileceğini' ve geniş çaplı bir sürüm planlamadığını belirtti.
Anthropic'in ürün yönetimi ve araştırmadan sorumlu başkanı Dianne Na Penn, konuyla ilgili yaptığı açıklamada, "Bu tür teknolojilerin hem çok faydalı olabilecek güçte hem de yanlış ellere geçtiğinde potansiyel olarak zararlı olabileceğine inanıyoruz" dedi. Penn, seçkin şirketlerin "daha önce yapamadıkları ölçekte güvenlik açıklarını tespit etme ve kodları belirleme konusunda öncü bir rol alacağını" sözlerine ekledi.
Son haftalarda Mythos, 'sıfır gün' olarak adlandırılan, yani daha önce keşfedilmemiş binlerce güvenlik açığını ve diğer güvenlik kusurlarını tespit etti. Bu kusurların birçoğu kritik öneme sahip ve on yıldır veya daha uzun süredir varlığını sürdürüyordu.
Örnek olarak, yaygın olarak kullanılan bir video yazılımındaki 16 yıllık bir kusur, otomatik test araçlarının 5 milyon kez çalıştırmasına rağmen tespit edemediği bir kod satırında bulundu.
Ancak, model testler sırasında bazı sorunlar da sergiledi.
Anthropic, bir noktada modelin internet erişimini engellemek üzere tasarlanan 'sandbox' ortamından kaçtığını ve bulduğu çözümün detaylarını çevrimiçi olarak paylaştığını tespit etti.
Anthropic, bu durumu "şirketin güvenlik önlemlerini aşma potansiyeli tehlikeli bir yetenek" olarak kabul etti.
Anthropic'ten teknik araştırmacı Sam Bowman, "en korkutucu davranışların modelin 'daha önceki sürümlerinden' geldiğini" belirtti. Mevcut sürümün bilgileri sızdırma olasılığının daha düşük olduğunu, ancak yine de 'sandbox'ları aşma gibi yetenekler konusunda en az eskisi kadar kabiliyetli olduğunu ekledi.
Anthropic, ayrıca Amerikan hükümet yetkilileriyle Claude Mythos hakkında sürekli görüşmeler yürütüyor. Şubat ayında, Pentagon'un Çin gibi rakiplerden gelen altyapı hedeflerini belirlemek için siber operasyonlarda yapay zeka araçlarını kullanma arayışında olduğu bildirilmişti.
Bu görüşmeler, Anthropic'in ABD savunma departmanıyla son haftalarda yaşadığı gerginliğe rağmen devam ediyor. Bir Amerikan mahkemesi, Pentagon'un şirketi bir tedarik zinciri riski olarak etiketleme çabasını geçici olarak engelledi. Başkan Donald Trump ise şirketin savaş teknolojilerinin kullanımı konusundaki 'kırmızı çizgilerini' değiştirmeyi reddetmesinin ardından Anthropic'i "solcu akıl hastaları" olarak eleştirmişti.
Anthropic, projedeki kuruluşların bulguları hakkında geri bildirim sağlamaları karşılığında modelin kullanımını sübvanse etmek için 100 milyon dolara kadar kredi sağlayacağını taahhüt etti. Ayrıca, genellikle daha yüksek siber risk taşıyabilen açık kaynak yazılımları güvence altına almaya yardımcı olmak için açık kaynak güvenlik gruplarına 4 milyon dolar bağışlayacak.
