Yapay zekanın, özellikle de dil modellerinin en başarılı olduğu konu, insanların hızlı ve doğru şekilde taramasının imkansız olduğu devasa veri kümelerindeki örüntüleri saptamak. Anthropic’in yeni genel amaçlı modeli Claude Mythos için de durum tam olarak böyle görünüyor. Şirket, bu modelin her büyük işletim sistemi ve web tarayıcısı dahil olmak üzere “binlerce yüksek öncelikli güvenlik açığını” tespit ettiğini duyurdu.
Claude Mythos’un lansmanıyla birlikte Anthropic, dünyanın en kritik yazılımlarını korumayı hedefleyen Project Glasswing girişimini de başlattı. Bu girişim, Amazon Web Services, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA ve Palo Alto Networks gibi devleri bir araya getiriyor.
Tüm bu hareketliliğin sebebi, Claude Mythos’un çok fazla açık bulması ve belki de daha önemlisi, “tespit edilen bu açıkların %99’unun henüz yamalanmamış olması.”
Söz konusu durum kulağa korkutucu gelse de Anthropic’in projeye dair detaylı blog yazısı, bu açıkların yalnızca potansiyel birer zayıflık olduğunu hatırlatıyor. Bir açığın gerçek tehdide dönüşmesi için birinin onu nasıl istismar edeceğini bulması ve gerçek dünyada başarıyla kullanması gerekiyor.
Yine de hemen rahat nefes almamak lazım. Anthropic, “Mythos Preview’un, uzman sızma testi uzmanlarının geliştirmesi haftalar süreceğini söylediği istismarlar kodlarını sadece birkaç saat içinde yazdığını gördük.” diyor.
Bu durum pek de iç açıcı değil. Mythos’un oluşturduğu örneklerden biri, FFmpeg’deki eski bir açık için yazılan istismardı:
“Temeldeki hata, H.264 kodeğinin eklendiği 2003 yılındaki işleme kadar uzanıyor. Ardından 2010 yılında kod yeniden yapılandırıldığında bu hata bir güvenlik açığına dönüştü. O zamandan beri bu zayıflık, kodu inceleyen her fuzzer ve insan gözünden kaçtı; bu da gelişmiş dil modellerinin sağladığı niteliksel farka işaret ediyor.”
Bahsi geçen açığın yanı sıra Mythos Preview, depo üzerinde yapılan yüzlerce taramanın ardından FFmpeg’de başka önemli açıklar da belirledi. Bunlar arasında H.264, H.265 ve AV1 kodeklerindeki diğer hatalar ile pek çok farklı sorun yer alıyor.
Tüm sürecin belirgin bir maliyeti olduğunu da unutmamak gerek. Devasa YZ sunucularını çalıştırmak ücretsiz değil ve hataları bulmak için kod depolarının defalarca taranması gerekiyor. Anthropic, OpenBSD’deki 27 yıllık bir hatayı şu şekilde keşfetti:
“Scaffold sistemimiz üzerinden gerçekleştirilen bin tur sonunda toplam maliyet 20.000 doların altında kaldı ve düzinelerce başka bulguya ulaşıldı. Bahsedilen hatayı bulan özel çalıştırmanın maliyeti 50 doların altında olsa da bu rakam ancak geriye dönüp bakıldığında bir anlam ifade ediyor. Her arama süreci gibi, hangi denemenin başarılı olacağını önceden kestiremiyoruz.”
İyi haberlerden biri, Anthropic’in FFmpeg için yamalar göndermiş olması fakat bu düzeltmeleri oluştururken bizzat yapay zekanın kullanılıp kullanılmadığı henüz netleşmedi. Diğer iyi haber ise durumun bütünüyle alakalı.
Bir YZ modelinin her gün kullandığımız yazılımlarda binlerce güvenlik açığı bulması endişe verici görünse de, bu sorunların artık ifşa edilmiş olması önemli. Claude Mythos, sıradan insanların gözünden kaçan suistimal edilebilir hataları buldu. Eğer bir model yeni açıkları herhangi bir insandan daha hızlı bulabiliyorsa, bu durum hackerların ve siber suçların bir adım önünde kalmak için bir dönüm noktası olabilir.
Yaşanan gelişmeler, yazılımların geleceğinde e-posta sunucularının spam, oltalama veya diğer şüpheli mesajları daha gönderilmeden tespit edip silmek için YZ sunucularını kullanıp kullanmayacağını merak ettiriyor. Aynı şeyin telefon şebekelerinde çalıştığını, spam SMS’leri ve otomatik aramaları engellediğini hayal edin.
Yine de bu tür senaryolar, daha karanlık bir ihtimali de akla getiriyor. İnsanların değil, sistemin kendisinin sorun olarak görülmeye başlandığı bir yapay zeka geleceği… Belki de geleneksel spam filtreleri o kadar da kötü değildir.
Kaynak: https://www.pcgamer.com/software/ai/anthropics-new-claude-mythos-ai-model-has-apparently-found-thousands-of-vulnerabilities-in-every-major-operating-system-and-every-major-web-browser-along-with-a-range-of-other-important-pieces-of-software/
