Yapay zeka şirketi Anthropic, en yetenekli AI modeli Claude Mythos Preview'a erişimi 150 yeni kuruluşa daha genişleterek, dünyanın en kritik yazılımlarındaki güvenlik açıklarını bulmayı amaçlayan Project Glasswing programını büyüttü. 2 Haziran'da duyurulan genişleme, Nisan ayında yaklaşık 50 ortakla başlatılan programın bir sonraki adımı olarak geliyor. İlk kohort, modeli kullanarak 10.000'den fazla yüksek veya kritik seviyede güvenlik açığı keşfetti.
Yeni ortaklar, 15'ten fazla ülkede yer alıyor ve enerji, su, sağlık, iletişim ve donanım gibi programın başlangıcında yeterince temsil edilmeyen sektörleri kapsıyor. Bu kuruluşların çoğu, kodları diğer kuruluşlara gömülü olan yazılım satıcıları. Anthropic, bu ortakları seçme nedenini, kod tabanlarına yapılacak bir siber saldırının felaketle sonuçlanabileceği ve çoğu için büyük bir ihlalin 100 milyondan fazla insanı etkileyebileceği şeklinde açıkladı.
Şirket, bu hamleyi sık sık uyardığı bir değişime hazırlık olarak çerçeveledi. Önümüzdeki 6-12 ay içinde rakip geliştiricilerin, benzer siber yeteneklere sahip modelleri, potansiyel olarak kötüye kullanıma karşı korumalar olmadan piyasaya sürmesini bekliyor. Mythos sınıfı modellere genel erişim hala mümkün değil; Anthropic, güvenli bir şekilde yayınlamak için gereken korumaların henüz hiçbir yerde bulunmadığını kabul ediyor.
Genişleme, sektörün zaten mücadele ettiği bir sorunu keskinleştiriyor: güvenlik açıklarını bulmak, onları düzeltmekten çok daha kolay hale geldi. Anthropic, darboğazın artık bu modellerin ortaya çıkardığı güvenlik açıklarını doğrulama, ifşa etme ve yamalama sürecinde olduğunu belirtti. OWASP kurucusu ve Contrast Security CTO'su Jeff Williams, duyurunun zaten bunalmış ekiplere ek baskı getirdiğini söylüyor.
Williams, 'Yapay zeka, güvenlik açığı keşfini endüstriyel ölçekte bir faaliyete dönüştürüyor, ancak çoğu kuruluş hala insan hızında düzeltme yapıyor. Daha fazla güvenlik açığı bulmak, yazılımı daha güvenli hale getirmez; kuruluşlar aynı hızda doğrulama, önceliklendirme, düzeltme ve dağıtım yapmadıkça. Gerçek fırsat, yapay zekayı tehdit modelleme ve güvenli tasarıma yönlendirmek, dünkü tara-ve-yamala döngüsüne değil' dedi.
Nasıl Önlem Alınmalı?
Cobalt CTO'su Gunter Ollmann ise bulguların, SAST ve DAST gibi otomatik araçların ancak bir yere kadar ulaşabildiğini ve AI analizini yetenekli insan yönlendirmesiyle birleştirmenin geleneksel yaklaşımların kaçırdığı güvenlik açıklarını ortaya çıkardığını belirtti. Ollmann, 'Bu gelişmelerden en çok faydalanacak kuruluşlar, saldırganlar onları bulmadan önce keşfedilen sorunları hızla doğrulayabilen, önceliklendirebilen ve düzeltebilenler olacak' diye ekledi.
Kaynak: infosecurity-magazine.com