Anthropic, nisan ayında yeni Mythos modelini tanıttığında yazılım geliştiren herkese sert bir uyarı da yaptı. Laboratuvarın iddiasına göre bu model, yazılım açıklarını saptama konusunda o kadar güçlüydü ki halka açılmadan önce düzeltilmesi gereken binlerce kritik hata bulmuştu.
Şimdi, Mozilla’nın Firefox tarayıcısı için çalışan güvenlik araştırmacıları, bu sürecin pratikte nasıl işlediğine ve Mythos’un yeteneklerinin genel yazılım güvenliği için ne anlama geldiğine dair detayları paylaşıyor.
Mozilla Perşembe günü yayınladığı yazıda, Mythos’un kod içinde on yıldan fazla süredir bekleyen hatalar da dahil olmak üzere birçok yüksek önem düzeyine sahip açığı ortaya çıkardığını belirtti.
Söz konusu gelişme, YZ güvenlik araçlarının yalnızca altı ay önce yapabildiklerine kıyasla önemli bir ilerleme. Şimdiye kadar YZ tabanlı hata bulma araçlarının ciddi dezavantajları vardı; güvenlik ekiplerini çoğu zaman düşük kaliteli raporlar ve yanlış pozitiflerle boğuyordu. Mozilla araştırmacılarına göre son nesil araçlar artık bir dönüm noktasını geride bıraktı, özellikle de ajan tabanlı sistemler kendi çalışmalarını değerlendirebildiği ve kötü sonuçları filtreleyebildiği için.
Araştırmacılar, “Bu dinamiğin sadece birkaç kısa ay içinde bizim için ne kadar değiştiğini abartmak zor. İlk olarak modeller çok daha yetenekli hale geldi. İkinci olarak da bu modellerden yararlanma tekniklerimizi büyük ölçüde geliştirdik.” diye yazdı.
Sonuçlar oldukça çarpıcı: Firefox, Nisan 2026’da 423 hata düzeltmesi yayınlarken, tam bir yıl önce bu sayı sadece 31 idi. Araştırmacılar ayrıca; tarayıcının bir HTML öğesini işleme biçimindeki 15 yıllık bir hatadan sandbox açıklarına kadar değişen 12 hatanın detaylarını paylaştı.
Sistemin Firefox’un “sandbox” sistemindeki açıkları ortaya çıkarmaya yardımcı olması özellikle etkileyici; çünkü sistemi istismar eden bir saldırının son derece karmaşık olması gerekiyor. Sandbox açıklarını bulmak için modelin tarayıcıya yönelik güvenliği zayıflatılmış bir yama yazması, ardından yeni kod uygulanmış haldeyken yazılımın en güvenli bölümüne saldırması gerekiyor. Hatayı bulmak ve göstermek; hem yaratıcılık hem de yakın dikkat gerektiren hassas, çok adımlı bir süreç.
Durumu netleştirmek gerekirse; Mozilla’nın bug bounty programı, Firefox’un sandbox sisteminde açık bulan araştırmacılara en yüksek ödül olan 20.000 dolara kadar ödeme yapıyor. Mozilla’nın kıdemli mühendisi Grinstead, bu yüksek ödüle rağmen Mythos’un insan araştırmacılardan daha fazla sandbox sorunu bulduğunu söylüyor. Grinstead, “Bildirimler alıyoruz ancak bu teknikle bulduğumuz hacme ulaşamıyorduk.” diyor.
Dikkat çeken bir nokta ise Firefox ekibinin hataları düzeltmek için hala YZ kullanmaması. Ekip, YZ’den her hata için yama kodu yazmasını istese de ortaya çıkan kod genellikle doğrudan kullanılamıyor; bunun yerine insan mühendisler için bir taslak görevi görüyor.
Yeni YZ yeteneklerinin siber güvenlikteki güç dengesini nasıl değiştireceği belirsizliğini koruyor. Mythos’un tanıtılmasından bu yana geçen bir ayda, bulunan hataların çoğu muhtemelen henüz yamalanmadı; bu da etkilerinin tam boyutunu ölçmeyi zorlaştırıyor. Anthropic, sorumlu açıklama kurallarına uyma konusunda son derece titiz davranıyor ancak kötü niyetli aktörlerin perde arkasında benzer teknikleri kullanıyor olması muhtemel, kullandıkları modeller Mythos kadar iyi olmasa bile.
Yakın zamandaki bir etkinlikte konuşan Anthropic CEO’su Dario Amodei, yeni araçların nihayetinde savunanların lehine olacağı konusunda iyimser: “Eğer bunu doğru yönetirsek, başladığımızdan daha iyi bir konumda olabiliriz çünkü tüm bu hataları düzelttik. Bulunacak hata sayısı sınırlı. Bu yüzden sürecin sonunda daha iyi bir dünya olduğunu düşünüyorum.” dedi.
Teknik detaylarla bizzat ilgilenen Grinstead’in görüşü ise daha temkinli: “Bu hem saldırganlar hem de savunanlar için yararlı ancak aracın erişilebilir olması avantajı biraz savunma tarafına kaydırıyor. Gerçekçi olmak gerekirse, bunun cevabını henüz kimse bilmiyor.”
Kaynak: https://techcrunch.com/2026/05/07/how-anthropics-mythos-has-rewritten-firefoxs-approach-to-cybersecurity/
