Yapay Zeka Rekabeti Kızışıyor: Anthropic'in Mythos'u Chrome Zafiyetlerinde GPT-5.5'i Geride Bıraktı Siber Güvenlik

Yapay Zeka Rekabeti Kızışıyor: Anthropic'in Mythos'u Chrome Zafiyetlerinde GPT-5.5'i Geride Bıraktı

ExploitBench kriterine göre Anthropic Mythos, Chrome zafiyetlerinde GPT-5.5'ten üstün. Yapay zeka, güvenlik açığı istismarında insan seviyesine yaklaş

Siber güvenlik dünyasında yapay zeka modelleri arasındaki rekabet kızışıyor. Infosecurity Europe 2026 fuarında Bugcrowd tarafından sunulan ExploitBench kriterinin ilk sonuçları, Anthropic'in Claude Mythos modelinin OpenAI'nin GPT-5.5 modelini gerçek dünya zafiyet istismarı performansında açık ara geride bıraktığını ortaya koydu. Carnegie Mellon Üniversitesi ve önde gelen Chrome zafiyet araştırmacılarının katkılarıyla geliştirilen bu bağımsız kriter, yapay zeka modellerinin yalnızca zafiyetleri tespit etme değil, adım adım istismar etme yeteneklerini ölçmeyi hedefliyor.

Bugcrowd'un baş yapay zeka ve bilim sorumlusu David Brumley, ExploitBench'in 'modellerin bir zafiyetle gerçekte ne yapabildiğini ölçen ilk bağımsız kriter' olduğunu belirtti. İlk testlerde Mythos, birebir karşılaştırmalarda GPT-5.5'ten belirgin şekilde yüksek bir istismar performansı sergiledi. Bu, yapay zeka modellerinin elit insan araştırmacılarla arasındaki farkı hızla kapattığını gösteriyor. Örneğin Mythos, Chrome'da daha önce istismar edilmemiş bir gün açığını (one-day vulnerability) yaklaşık %50 oranında başarıyla sömürebiliyor. Google'ın bu tür bir açık için ödül olarak 10.000 dolara kadar ödeme yapabildiğini hatırlatan Brumley, Mythos'un en yetenekli hackerların bile gözden kaçırdığı istismar yöntemleri bulduğunu vurguladı.

ExploitBench, önceki basit çökme/çökmeme testlerinin aksine, aşamalı istismar sonuçlarına göre puanlama yapıyor. Kriter, Google Chrome, Microsoft Edge, Node.js ve Cloudflare Workers'ın temelini oluşturan V8 JavaScript/WebAssembly motorunu hedef alan beş yetenek seviyesini değerlendiriyor. İnsan ipuçlarıyla desteklenen Mythos, 16 üzerinden ortalama 9.90 puan alırken 41 zafiyetin 21'inde en üst seviyeye ulaştı. GPT-5.5 ise ortalama 5.51 puanla yalnızca iki vakada en üst seviyeye erişebildi.

Önemli Gelişmeler

Brumley, GPT-5.5'in performansının şu an daha düşük olduğunu ancak OpenAI modelinin daha geniş erişilebilirliğinin daha fazla kişinin istismar geliştirmesine olanak tanıdığını belirtti. Bu durum, yapay zeka modellerinin siber saldırı araçlarına dönüşme potansiyelini artırıyor. Gerçekten de öncü dil modellerinin (LLM) büyük ölçekte zafiyet keşfini hızlandırdığı biliniyordu, ancak bu keşiflerin güvenilir istismarlara dönüştürülebilmesi ExploitBench'e kadar cevapsız bir soruydu.

Sonuç ve Değerlendirme

Bugcrowd CEO'su Dave Gerry, yapay zeka ve otomasyonun saldırgan iş akışlarına entegre edildiğini ve keşfedilen zafiyetlerin aktif istismarlara dönüştürülme hızını artırdığını vurguladı. Ancak Brumley, ilk bulguların yalnızca belirli bir zafiyet türünü yansıttığı ve sonuçların genelleştirilmemesi gerektiği konusunda uyardı. Chrome gibi yıllardır denetlenen karmaşık bir uygulamada elde edilen başarının, bir web uygulaması zafiyetinde aynı sonucu vermeyebileceğini belirtti.

Detaylar ve Etkileri

VulnCheck Ürün Mühendisliği Başkan Yardımcısı Michael Price ise yapay zeka modellerinin iyileşmesine rağmen henüz büyük ölçekte güvenilir istismar gerçekleştirecek seviyede olmadığını söyledi. İngiltere Yapay Zeka Güvenlik Enstitüsü'nün Mythos raporuna atıfta bulunan Price, en önemli ilerlemenin modellerin planlama yeteneğinde olduğunu; adım adım plan yapma, gerektiğinde yeniden planlama ve çok aşamalı eylemleri yürütme kabiliyetinin onları saldırı kampanyaları için daha kullanışlı hale getirdiğini ifade etti. Ancak Price, modellerin her ay veya çeyrekte %1 iyileştiğini ve 2-4 yıl içinde gerçekten iyi hale gelebileceklerini tahmin ettiğini ekledi.

Bugcrowd, ExploitBench'in yanı sıra model yeteneklerini ölçmek ve geliştirmek için pekiştirmeli öğrenme (RL) ortamları da yayınladı. Gerry, bu iki aracın birbirini tamamladığını; birinin ölçümü, diğerinin ise hedefli RL eğitimi yoluyla iyileştirmeyi sağladığını belirtti. Şirket liderleri, savunmacıların saldırı hızına ayak uydurabilmek için otomatik düzeltme ve önceliklendirme mekanizmaları geliştirmeleri gerektiğini vurguladı. Gerry, 'sıfırıncı gün saatinin' kısaldığını ve yapay zeka destekli keşiflerin arttığını belirterek, düzeltme boru hatlarının yeniden düşünülmesi ve bilet kuyruklarından gerçek zamanlı iş akışlarına geçilmesi gerektiğini söyledi. Brumley ise savunmacıların, düşmanlar istismar etmeden önce en kritik zafiyetleri önceliklendirmek ve düzeltmek için bağlamsal zekaya ihtiyaç duyduğunu ekledi.

Kaynak: infosecurity-magazine.com

Paylaş: