Infosecurity Europe 2026 fuarında tanıtılan yeni bir kıyaslama aracı, yapay zeka modellerinin gerçek dünyadaki güvenlik açıklarını sömürme yeteneklerini ortaya koydu. Bugcrowd tarafından Carnegie Mellon Üniversitesi ve önde gelen Chrome güvenlik araştırmacılarıyla iş birliği içinde geliştirilen ExploitBench, ilk sonuçlarını paylaştı. Buna göre, Anthropic'in Mythos modeli, Google Chrome'da tespit edilen güvenlik açıklarını sömürmede OpenAI'nin GPT-5.5 modeline kıyasla çok daha başarılı oldu. Bugcrowd'un baş yapay zeka ve bilim sorumlusu David Brumley, bu kıyaslamanın modellerin yalnızca açıkları tespit etme değil, adım adım sömürme yeteneğini ölçen ilk bağımsız test olduğunu vurguladı.
ExploitBench, yalnızca çökme olup olmadığını kaydeden önceki ikili testlerden farklı olarak, sömürme aşamalarını beş kademede değerlendiriyor. En üst seviye, hedef uygulamada rastgele kod çalıştırmayı içeriyor. Testler, Google Chrome, Microsoft Edge, Node.js ve Cloudflare Workers'ın temelini oluşturan V8 JavaScript/WebAssembly motorunun güvenlik açığı içeren bir sürümü üzerinde gerçekleştirildi. Anthropic'in Mythos modeli, 41 güvenlik açığından 21'inde en yüksek seviyeye ulaşarak ortalama 9.90 puan alırken, GPT-5.5 yalnızca 2 açıkta en üst seviyeye çıkabildi ve ortalama 5.51 puan aldı. Brumley, Mythos'un Chrome'daki tek günlük açıkların yaklaşık %50'sini sömürebildiğini ve bu başarının Google'ın 10.000 dolara kadar ödül verdiği açıkları kapsadığını belirtti.
Ancak uzmanlar, bu gelişmelerin dikkatle ele alınması gerektiğini vurguluyor. VulnCheck'in ürün mühendisliği başkan yardımcısı Michael Price, yapay zeka modellerinin her geçen ay %1 oranında iyileştiğini, ancak henüz büyük ölçekte güvenilir bir şekilde sömürme yapamadıklarını söyledi. Brumley de ilk sonuçların yalnızca belirli bir tür güvenlik açığına odaklandığını ve bu sonuçların genelleştirilmemesi gerektiğini belirtti. Chrome gibi milyonlarca satır kod içeren ve yıllardır denetlenen bir uygulamada elde edilen başarının, web uygulamalarındaki açıklar için aynı olmayabileceğini ifade etti.
ExploitBench, yalnızca bir ölçüm aracı değil, aynı zamanda yapay zeka modellerinin güvenlik açıklarını sömürme becerisini geliştirmek için tasarlanmış bir eğitim ortamı da sunuyor. Bugcrowd CEO'su Dave Gerry, siber güvenlik savunucularının, artan saldırı hızına ayak uydurabilmek için otomatik düzeltme ve önceliklendirme yapmaları gerektiğini vurguladı. Aksi halde, tespit edilen açıkların sayısındaki artışın yalnızca gürültüyü artıracağını belirtti. Brumley ise, modellerin yalnızca açıkları bulmakla kalmayıp, hangilerinin öncelikli olduğunu belirleyecek bağlamsal zekaya da sahip olması gerektiğini ekledi.