Infosecurity Europe 2026'da Bugcrowd, Carnegie Mellon Üniversitesi ve önde gelen Chrome güvenlik araştırmacılarıyla geliştirilen ExploitBench adlı bağımsız kıyaslamanın ilk sonuçlarını açıkladı. Bu kıyaslama, yapay zeka modellerinin gerçek dünyadaki güvenlik açıklarını yalnızca tespit etmekle kalmayıp adım adım nasıl sömürebildiğini ölçüyor. İlk testlerde Anthropic'in Claude Mythos modeli, OpenAI'ın GPT-5.5'ine kıyasla belirgin şekilde daha yüksek bir sömürü performansı sergiledi.
Bugcrowd'un baş yapay zeka ve bilim sorumlusu David Brumley, ExploitBench'in önceki ikili testlerden farklı olarak sömürü aşamalarını puanladığını belirtti. Kıyaslama, Google Chrome, Microsoft Edge, Node.js ve Cloudflare Workers'ı çalıştıran V8 JavaScript/WebAssembly motorundaki güvenlik açıklarına karşı beş yetenek seviyesini değerlendiriyor. Mythos, ortalama 16 üzerinden 9,90 puan alırken, 41 güvenlik açığının 21'inde en üst seviyeye ulaştı. GPT-5.5 ise ortalama 5,51 puanla yalnızca iki vakada en üst seviyeye çıkabildi.
Brumley, Mythos'un Chrome'daki bir günlük güvenlik açıklarını yaklaşık %50 oranında sömürebildiğini ve bunun lider seviye bir aktivite olduğunu vurguladı. Google'ın daha önce bilinen bir istismarı olmayan bu tür bir açık için 10.000 dolara kadar ödül verebileceğini belirtti. Ayrıca Mythos'un, üst düzey hackerların bile gözden kaçırdığı açıkları sömürme yolları bulduğunu ekledi.
Ancak Brumley, ExploitBench'in yalnızca belirli bir tür güvenlik açığını ölçtüğüne ve sonuçların genellenmemesi gerektiğine dikkat çekti. 'Chrome, yüz binlerce satır koddan oluşan, yıllardır denetlenen çok karmaşık bir hedef uygulama. Orada bir açık bulmanın ne kadar değerli olduğunu biliyoruz. Ancak aynı sonuçları bir web uygulamasındaki güvenlik açığını sömürmeye çalışırken alamayabiliriz.' dedi.
VulnCheck ürün mühendisliği başkan yardımcısı Michael Price ise yapay zeka modellerinin gelişmesine rağmen henüz tam olarak güvenilir bir şekilde büyük ölçekte sömürü gerçekleştiremediğini söyledi. İngiltere Yapay Zeka Güvenlik Enstitüsü'nün Mythos raporuna atıfta bulunan Price, en önemli ilerlemenin modellerin planlama yeteneğinde olduğunu belirtti. Modellerin adım adım plan yapma, gerektiğinde yeniden planlama ve çok aşamalı eylemleri yürütme kapasitesi, onları saldırı kampanyaları için daha kullanışlı hale getiriyor. Ancak Price, 'Her ay veya her çeyrekte %1 daha iyi hale geliyorlar ve muhtemelen iki ila dört yıl içinde gerçekten iyi olacaklar.' diyerek temkinli bir iyimserlik ifade etti.
Teknik Analiz
Bugcrowd, ExploitBench'i pekiştirmeli öğrenme ortamlarıyla birlikte yayınlayarak model yeteneklerini hem ölçmeyi hem de geliştirmeyi hedefliyor. Şirket liderleri, savunmacıların saldırı hızına ayak uydurabilmek için otomatik düzeltme ve önceliklendirme geliştirmeleri gerektiğini vurguladı. Dave Gerry, 'sıfır gün saati'nin kısaldığını ve yapay zeka destekli keşiflerin arttığını belirterek, düzeltme hatlarının yeniden düşünülmesi gerektiğini söyledi. Brumley ise savunmacıların, düşmanlar sömürmeden önce en kritik güvenlik açıklarını önceliklendirip düzeltebilmek için bağlamsal zekaya ihtiyaç duyduğunu ekledi.
Kaynak: infosecurity-magazine.com