Anthropic, dünyanın en kritik yazılımlarındaki güvenlik açıklarını bulmak için geliştirdiği Project Glasswing programını genişleterek en yetenekli yapay zeka modeli Claude Mythos'a 150 yeni kuruluşun daha erişmesini sağladı. Şirket, 2 Haziran'da yaptığı açıklamada, Nisan ayında yaklaşık 50 ortakla başlatılan programa yeni katılımcıların eklendiğini duyurdu. Bu genişleme, yapay zeka destekli güvenlik taramasının endüstriyel ölçekte benimsenmesi yolunda önemli bir adım olarak değerlendiriliyor.
İlk kohort, Claude Mythos Preview modelini kullanarak 10.000'den fazla yüksek veya kritik seviyede güvenlik açığı tespit etti. Bu başarı, AI'nın güvenlik açığı keşfindeki potansiyelini gözler önüne sererken, aynı zamanda sektördeki mevcut iş akışlarının bu hıza ayak uydurması gerektiğini de ortaya koyuyor. Anthropic, yeni ortakların 15'ten fazla ülkeden geldiğini ve enerji, su, sağlık, iletişim ve donanım gibi kritik sektörleri temsil ettiğini belirtti.
Project Glasswing'in kapsamının genişlemesinin ardında, siber saldırıların potansiyel olarak 100 milyondan fazla insanı etkileyebileceği endişesi yatıyor. Anthropic, önümüzdeki 6-12 ay içinde rakip geliştiricilerin benzer siber yeteneklere sahip modeller piyasaya sürmesini bekliyor. Bu modellerin kötüye kullanıma karşı yeterli güvenlik önlemleri olmadan yayınlanabileceği uyarısında bulunan şirket, Mythos sınıfı modellere genel erişimin henüz mümkün olmadığını, çünkü gerekli güvenlik önlemlerinin henüz geliştirilmediğini kabul ediyor.
Ancak bu genişleme, sektörün zaten mücadele ettiği bir sorunu daha da belirgin hale getiriyor: Güvenlik açıklarını bulmak, onları düzeltmekten çok daha kolay hale geldi. Anthropic, doğrulama, açıklama ve yama yapma sürecinin artık darboğaz oluşturduğunu belirtiyor. OWASP kurucusu ve Contrast Security CTO'su Jeff Williams, AI'nın güvenlik açığı keşfini endüstriyel ölçekte bir faaliyete dönüştürdüğünü, ancak çoğu kuruluşun hala insan hızında düzeltme yaptığını vurguluyor.
Williams'a göre daha fazla açık bulmak, yazılımı daha güvenli hale getirmiyor; bunun için kuruluşların doğrulama, önceliklendirme, düzeltme ve dağıtımı aynı hızda yapabilmesi gerekiyor. Gerçek fırsatın, AI'yı tehdit modelleme ve güvenli tasarım gibi alanlara yönlendirmek olduğunu savunan Williams, mevcut 'tara ve yama' döngüsünün yetersiz kaldığını belirtiyor. Cobalt CTO'su Gunter Ollmann ise, AI analizini yetenekli insan yönlendirmesiyle birleştirmenin, geleneksel SAST ve DAST gibi otomatik araçların gözden kaçırdığı açıkları ortaya çıkardığını ifade ediyor.
Detaylar ve Etkileri
Ollmann, bu gelişmelerden en çok faydalanacak kuruluşların, keşfedilen sorunları saldırganlardan önce hızlıca doğrulayıp, önceliklendirip ve düzeltebilenler olacağı sonucuna varıyor. Project Glasswing'in genişlemesi, yapay zeka destekli güvenlik taramasının geleceğine dair önemli sinyaller verirken, sektörün bu yeni paradigmaya uyum sağlaması için hem teknolojik hem de operasyonel değişikliklere ihtiyaç duyulduğunu gösteriyor. AI'nın güvenlik açığı keşfindeki rolü arttıkça, düzeltme süreçlerinin de aynı hızda evrilmesi gerekiyor.
Kaynak: infosecurity-magazine.com