Claude Mythos Ön İzlemesi: Anthropic’in Henüz Yayınlanmamış Yapay Zekası, İnsanların Onlarca Yıldır Gözden Kaçırdığı Linux ve OpenBSD Hatalarını Ortaya Çıkardı

Önemli Noktalar:

• Anthropic'in Claude Mythos Preview ürünü, Cybergym'de %83,1 puan alarak tüm büyük işletim sistemleri ve tarayıcılarda binlerce sıfır gün güvenlik açığı tespit etti.
• Project Glasswing, 7 Nisan 2026'da 11 kurucu ortak ve savunmacılar için 100 milyon dolara kadar Mythos kullanım kredisiyle başlatıldı.
• 27 yıllık bir OpenBSD kusuru ve 16 yıllık bir FFmpeg hatası, Mythos tarafından birkaç saat içinde tespit edilene kadar milyonlarca otomatik testten geçmeyi başardı.

Claude Mythos AI, Cybergym'de %83 puan aldı ve tüm büyük tarayıcılarda ve işletim sistemlerinde kritik kusurlar buldu

Anthropic'in öncü AI tarihindeki en büyük tek model yetenek artışı olarak tanımladığı model, eğitimi tamamladı ve 7 Nisan 2026'da kamuoyuna duyuruldu. Bu duyuru, Mart ayı sonlarında yaklaşık 3.000 iç dosyayı açığa çıkaran yanlış yapılandırılmış bir içerik yönetim sistemi aracılığıyla iç detayların ortaya çıkmasının ardından gerçekleşti.

Anthropic, Claude Mythos Önizlemesini halka veya genel API'si aracılığıyla yayınlamıyor. Şirket, modelin daha önce bilinmeyen yazılım kusurlarını hem insan uzmanları hem de önceki AI sistemlerini geride bırakan bir hız ve ölçekte keşfedip istismar edebileceğini göstermesinin ardından, erişimi onaylanmış bir ortak grubuyla sınırladı.

Siber güvenlik karşılaştırmalarında, Mythos ile Claude Opus 4.6 arasındaki fark göz ardı edilemez. Mythos, Cybergym'de %83,1 puan alırken Opus 4.6 %66,6, SWE-bench Verified'da ise %93,9'a karşı %80,8 puan aldı. SWE-bench Pro'da ise %77,8'e karşı %53,4 ile 24 puanlık bir fark ortaya koydu. Humanity's Last Exam'da araç kullanmadan %56,8'e ulaşırken, önceki modelin puanı %40,0 idi.

Model, bu hataları bulmak için siber güvenliğe özgü bir eğitime ihtiyaç duymuyor. Kazançları, akıl yürütme, çok adımlı planlama ve otonom ajansal davranış alanlarındaki daha geniş kapsamlı ilerlemelerden kaynaklanıyor. İzole bir konteynerdeki hedef kod tabanı verildiğinde, kaynak kodunu okur, bellek güvenliği kusurları hakkında hipotezler oluşturur, yazılımı derler ve çalıştırır, Address Sanitizer gibi hata ayıklayıcıları kullanır, dosyaları güvenlik açığı olasılığına göre sıralar ve çalışan kavram kanıtı istismarları içeren doğrulanmış hata raporları üretir.

Bu istismarların bazıları neredeyse hiç insan müdahalesi gerektirmedi. Tomshardware.com, saldırganın kötü niyetli paketler oluşturarak yanıt veren herhangi bir ana bilgisayarı uzaktan çökertmesine olanak tanıyan, 27 yıllık bir OpenBSD TCP SACK güvenlik açığının, toplam maliyeti 20.000 doların altında ve yaklaşık 1.000 çalıştırma sonrasında otonom olarak tespit edildiğini bildiriyor. 16 yıllık bir FFmpeg H.264 hatası, Mythos tarafından tespit edilene kadar beş milyondan fazla otomatik testten ve çok sayıda denetimden geçmişti.

Tarayıcı sonuçları özellikle dikkat çekti. Firefox 147 JavaScript motoru testinde Mythos, 181 tam kabuk istismarı ve 29 kayıt kontrolü vakası üretti. Claude Opus 4.6, aynı test setinde iki kabuk istismarı üretti. Model ayrıca, son 100 CVE'yi 40 istismar edilebilir adaya indirgedikten ve bunların yarısından fazlasını başarıyla istismar ettikten sonra, sunucularda kullanıcıdan root'a kadar çalışan Linux çekirdeği ayrıcalık yükseltme zincirleri oluşturdu.

İnsan doğrulayıcılar, modelin güvenlik açığı raporlarının 198'ini inceledi ve %89 oranında ciddiyet derecelendirmelerine katılırken, %98 oranında bir ciddiyet seviyesi içinde mutabık kaldı.

Project Glasswing

Şu ana kadar tespit edilen hataların %1'inden azı tamamen düzeltildi. Anthropic, sorumlu ifşa sürecini koordine ediyor, yamalanmamış sorunlar için kriptografik SHA-3 taahhütlerini yayınlıyor ve tüm ayrıntıları açıklamadan önce 90 artı 45 günlük bir zaman çizelgesini takip ediyor. 17 yıllık geçmişi olan ve tam kimlik doğrulaması gerektirmeyen root erişimi sağlayan FreeBSD NFS sunucusu uzaktan kod yürütme hatası CVE-2026-4747, halihazırda ifşa edilen örnekler arasında yer alıyor.

Model ile birlikte duyurulan Project Glasswing, benzer araçlar yaygın olarak kullanılmaya başlamadan önce bu yetenekleri savunma amaçlı kullanmaya yönelik Anthropic'in girişimidir. Kurucu ortaklar arasında Amazon Web Services, Apple, Broadcom, Cisco, Crowdstrike, Google, JPMorganChase, Linux Foundation, Microsoft, Nvidia ve Palo Alto Networks bulunmaktadır. Erişim, 40'tan fazla kritik yazılım kuruluşuna daha genişletilmektedir.

Anthropic, açık kaynak güvenlik bağışları için 4 milyon dolar taahhüt etti: 2,5 milyon dolar Linux Vakfı aracılığıyla OpenSSF üzerinden Alpha-Omega'ya, 1,5 milyon dolar ise Apache Yazılım Vakfı'na.

Şirket, Mythos gibi AI araçlarının güvenlik açıklarını bulma ve bunlardan yararlanma engelini azalttığını kabul etti ve benzer yeteneklerin kontrolsüz bir şekilde yayılması durumunda devlet aktörleri, Çin, İran, Kuzey Kore ve Rusya ile suç gruplarından kaynaklanacak kısa vadeli risklere dikkat çekti. Savunmacılar teknolojiyi tam olarak entegre etmeden önce bir geçiş dönemi kargaşası yaşanacağını belirtti.

Anthropic, yakında çıkacak Claude Opus sürümlerinin tehlikeli siber güvenlik çıktılarını tespit edip engelleyecek güvenlik önlemleri içereceğini ve onaylanmış güvenlik uzmanları için bir Siber Doğrulama Programı başlatmayı planladığını söyledi. Ortakların bulguları ve yamalanmış güvenlik açıklarına ilişkin kamuya açık bir raporun 90 gün içinde yayınlanması bekleniyor.