Yapay Zeka Siber Güvenlikte Yeni Bir Silahlanma Yarışını mı Başlatıyor?

İnternetin üzerine, durdurulması pek de mümkün görünmeyen devasa bir dalga vurmaya başlıyor. Dünya Ekonomik Forumu verilerine göre, 2025'ten önceki iki yıl içinde küresel çaptaki haftalık siber saldırıların sayısı X oranında fırladı. Bu artışın büyük bir kısmı yapay zekaya atfediliyor. Sadece 2025 yılında yapay zeka destekli saldırılarda ?'luk bir artış yaşandı.

Bu artışın büyük bir kısmı oltalama (İng: "phishing") saldırılarındaki gelişmelere dayanıyor. Oltalama saldırılarında suçlular, banka bilgilerinizi veya hassas verilerinizi ifşa etmeniz için sizi kandırmak amacıyla sahte e-postalar, aramalar veya kısa mesajlar kullanırlar. Ancak artık çok daha temel bir şeyler değişmiş olabilir. Claude yapay zeka modellerinin arkasındaki şirket olan Anthropic, Claude Mythos Preview adında güçlü yeni bir model geliştirdiğini duyurduğunda, tüm interneti bir titreme aldı.

Bu yeni model o kadar güçlüydü ki, şirket modeli mevcut haliyle halka açmayı çok tehlikeli buldu. Peki ama neden? Çünkü Mythos Preview, güvenlik analistlerinin ve hatta önceki yapay zeka modellerinin gözden kaçırdığı yazılım güvenlik açıklarını kolaylıkla tespit edebiliyor.

Buna karşılık Anthropic, dünyanın en büyük yazılım ve web altyapısı şirketlerinden 40'tan fazlasını bir araya getiren yeni bir girişim olan Project Glasswing'i kurduğunu duyurdu. Project Glasswing'in temel amacı oldukça net. Kötü niyetli kişiler benzer yeteneklere sahip yapay zeka modelleri geliştirip bunları sömürmeye başlamadan önce, bu açıkları bulmak ve düzeltmek için Claude Mythos Preview'u kullanmak hedefleniyor.

Anthropic, modelin şimdiden binlerce yüksek dereceli güvenlik açığı ortaya çıkardığını söylüyor. Bu açıklar arasında, önde gelen tüm işletim sistemleri ve web tarayıcılarındaki kusurlar da yer alıyor. Anthropic yetkilileri durumu şu sözlerle uyardı:

Bu tür yeteneklere sahip yapay zeka modellerinin, bunları güvenli bir şekilde kullanmaya kararlı olan aktörlerin potansiyel olarak çok ötesine geçerek çoğalması uzun sürmeyecektir. Bunun ekonomiler, kamu güvenliği ve ulusal güvenlik için doğuracağı sonuçlar çok ağır olabilir.

Kısacası Mythos Preview ve diğer modellerin ortaya çıkardığı bir gerçek var. İnternetin temelinde yer alan, en çok güvenilen ve en yaygın kullanılan sistemlerin bazılarında bile kritik güvenlik açıkları bulunuyor. Üstelik bu açıkların bazıları on yıllar öncesine dayanıyor. Yapay zeka, bu zafiyetleri en iyi bilgisayar korsanlarının hayal bile edemeyeceği hızlarda avlayıp kendi avantajına kullanabiliyor.

Şimdi sorulması gereken asıl soru şu; çok geç olmadan bu kusurları düzeltip interneti sağlamlaştırabilecek miyiz?

Açık Kaynak Uçurumu Kapanıyor

Yapay zeka yarışına öncülük eden devasa şirketler hakkındaki görüşleriniz ne olursa olsun, iyi bir haberimiz var. Şu anda internet için verilen savaşta en güçlü araçlar sadece iyi adamların elinde bulunuyor. Ancak bu durum uzun süre böyle kalmayacak.

Sektördeki en iyi yapay zeka modelleri, öncü modeller (İng: "frontier models") olarak biliniyor. Mythos Preview gibi modeller yakından korunan sırlar olarak büyük bir gizlilik içinde tutuluyor.

Ne var ki öncü modellerin hemen ensesinde açık kaynaklı modeller (İng: "open-source models") yer alıyor. Bu sistemler şeffaf bir şekilde piyasaya sürülüyor. İnsanların, modelleri yaratanların belirlediği yeteneklerin ve güvenlik korkuluklarının ötesinde yenilikler yapmasına ve deneyler yürütmesine olanak tanıyorlar.

Evrim Ağacı'ndan Mesaj

Neden Desteğe İhtiyacımız Var?

Aslında maddi destek istememizin nedeni çok basit: Çünkü Evrim Ağacı, bizim tek mesleğimiz, tek gelir kaynağımız. Birçoklarının aksine bizler, sosyal medyada gördüğünüz makale ve videolarımızı hobi olarak, mesleğimizden arta kalan zamanlarda yapmıyoruz. Dolayısıyla bu işi sürdürebilmek için gelir elde etmemiz gerekiyor.

Bunda elbette ki hiçbir sakınca yok; kimin, ne şartlar altında yayın yapmayı seçtiği büyük oranda bir tercih meselesi. Ne var ki biz, eğer ana mesleklerimizi icra edecek olursak (yani kendi mesleğimiz doğrultusunda bir iş sahibi olursak) Evrim Ağacı'na zaman ayıramayacağımızı, ayakta tutamayacağımızı biliyoruz. Çünkü az sonra detaylarını vereceğimiz üzere, Evrim Ağacı sosyal medyada denk geldiğiniz makale ve videolardan çok daha büyük, kapsamlı ve aşırı zaman alan bir bilim platformu projesi. Bu nedenle bizler, meslek olarak Evrim Ağacı'nı seçtik.

Eğer hem Evrim Ağacı'ndan hayatımızı idame ettirecek, mesleklerimizi bırakmayı en azından kısmen meşrulaştıracak ve mantıklı kılacak kadar bir gelir kaynağı elde edemezsek, mecburen Evrim Ağacı'nı bırakıp, kendi mesleklerimize döneceğiz. Ama bunu istemiyoruz ve bu nedenle didiniyoruz.

Destek Ol

Çoğu zaman bu durum faydalı olsa da beraberinde ciddi riskler getiriyor. Merkeziyetsizlik, kötü niyetli aktörlerin yapay zeka ajanlarını (İng: "AI agents") kötü amaçlar için ince ayarlardan geçirmesine izin veriyor. Bu yeniden tasarlanmış modeller kendi sunucularında çalıştırıldığında izlenmekten kaçabiliyorlar. University College London'dan bilgisayar bilimcisi Prof. Peter Bentley, bu durumu çarpıcı ifadelerle açıklıyor:

İki veya üç yıl önce bu o kadar kolay değildi, ancak şu anda herkes bir yapay zeka ajanı veya bir grup ajan oluşturmak için gerekli araçlara erişebilir ve bunları çalıştırabilir. Güçlü bilgisayarlara ihtiyacınız var ancak suçlular para kazanmak için kesinlikle para yatıracaklardır. Güçlü bilgisayarlar ve yerel modeller edinecekler, ve bunu kesinlikle yapabilirler. Pandora'nın kutusu artık açıldı.

Açık kaynaklı modeller her zaman öncü olanların gerisinde kalmıştır, ancak bu fark giderek kapanıyor. Yapay Zeka Güvenlik Enstitüsü'nün yakın tarihli bir raporuna göre, son iki yıl içinde öncü modeller ile açık kaynaklı modeller arasındaki fark yaklaşık altı aya kadar daraldı.

Sonuç olarak, Mythos Preview eşdeğeri bir modelin, web üzerindeki en temel yazılımlardaki açıkları kullanmak isteyen kötü niyetli bir aktörün eline geçmesine bir yıldan daha az bir süremiz kalmış olabilir. Durumun aciliyetini şimdi daha iyi kavrayabiliyoruz değil mi?

Bilgi Kirliliğini Aşmak ve Gerçekleri Görmek

Ancak paniğe kapılıp yastık altına para saklamaya başlamadan önce, yapay zeka endüstrisinin abartılı iddialarla dolu bir sektör olduğunu hatırlamakta fayda var.

Anthropic, OpenAI, Google ve xAI gibi şirketler modellerini olduklarından daha iyi, daha önemli ve muhtemelen daha tehlikeli göstermekten finansal veya algısal fayda sağlayabiliyorlar.

Bu durum hiçbir yerde iş yerlerindeki kadar belirgin değildir. Yapay zeka şirketleri yıllardır yapay zekanın iş dünyasında yaratacağı dönüştürücü etkiyi anlatıp duruyorlar. Ancak çoğumuz fark etmişizdir ki işlerin büyük bir kısmı ya sadece biraz değişti ya da hiç değişmeden olduğu gibi kaldı. Prof. Peter Bentley, bu konuyla ilgili düşüncelerini de şu şekilde belirtiyor:

Yapay zekaya devasa miktarda para harcandı. Peki ne değişti? Evet, işleri değiştiriyor ama bu değişim daha çok işleri daha verimli hale getirmekle ilgili.

Dolayısıyla Anthropic, Mythos Preview'u kendi yeteneklerinde bir sıçrama olarak tanımlarken, diğer uzmanlar çok daha temkinli yaklaşıyor. Örneğin bilim insanı ve yazar Gary Marcus, yapay zeka konusunda şüpheci yaklaşan topluluğun önde gelen isimlerinden biri. Project Glasswing duyurusunun ardından blogunda yayınladığı yakın tarihli bir yazısında ortamı sakinleştiren şu ifadelere yer verdi:

Modelin kendisi, önceki yakın dönem modellere göre kademeli olarak daha iyi, ancak kesinlikle olağanüstü bir atılım değil.

Marcus blog yazısında, yapay zeka siber güvenlik şirketi Aisle tarafından yapılan bir analize de dikkat çekti. Bu analiz, küçük ve ucuz modellerin bile Claude Mythos Preview'un yaptığı işin büyük bir kısmını yapabildiğini ortaya koydu. Marcus, konuyu şu şekilde özetliyor:

Belirli bir dereceye kadar oyuna getirildiğimizi hissediyorum. Yapılan sunum kesinlikle düzenleyici ve teknik altyapımızı düzene sokmamız gerektiğine dair bir kavram kanıtıydı (İng: "proof of concept"). Ancak medyanın ve halkın inandırıldığı gibi acil bir tehdit değildi.

Gelecek model dalgası tüm interneti gerçekten çökertebilecek kapasitede olsa bile, kötü niyetli kişilerin onları tam olarak bu amaçla kullanacağı kesin değildir. Prof. Bentley, internetin çökertilmesinin rasyonel bir suç eylemi olmadığını şöyle açıklıyor:

Agora Bilim Pazarı

PALME 10.SINIF ENERJİ COĞRAFYA KONU ÖZETLİ SORU FASİKÜLLERİ (4 FASİKÜL)

Devamını Göster

₺799,00

Satın Al Tüm Ürünler

Birisi interneti ancak bunu gerçekten yapmak istiyorsa çökertebilir ve bu pek kullanışlı bir eylem değildir. En olası sömürü girişimleri, finansal çıkar sağlamaya yönelik hedefli saldırılar olacaktır.

Elbette bu mantık çoğunlukla siber suç grupları için geçerlidir. Ulus devletler veya terör örgütleri gibi siyasi rakipler, ödül elde etmekten ziyade büyük bir yıkım yaratmaya daha fazla motive olabilirler. Prof. Bentley bu tehlikenin boyutunu şöyle belirtiyor:

Eğer bazı devletler bunu ele geçirirse, diğer ülkelere karşı kullanacaklardır. Bu, yapay zekayı şaşırtıcı derecede kolay bir şekilde silah haline getirmektir.

Yeni Bir Silahlanma Yarışı Başlıyor

Durum ne olursa olsun, bir sonraki model dalgası halka ulaşmadan önce interneti güçlendirmek için yarışın artık başladığı açıkça görülüyor.

Ancak her güvenlik açığını yamamak (İng: "patching") bu işin doğru yolu mu? Ve dahası, böyle bir şey gerçekten mümkün mü?

İlk olarak kod yamamak için yapay zekayı kullanmak son derece alengirli bir süreç olabilir. Bu konudaki zorlukları Prof. Bentley şöyle anlatıyor:

Yapay zeka tarafından yazılan kodlar genellikle karmaşıktır ve pek de parlak değildir. Mevcut kodu yamamak için yapay zekayı kullanmaya başlarsanız, işler karışacak, insanlar bu kodları anlamayacak ve bu da daha fazla güvenlik açığı yaratacaktır.

O halde cevap, savunucuların hala öndeyken kendilerine üstünlük sağlayacak stratejiler üretmesi olabilir. Birleşik Krallık Ulusal Siber Güvenlik Merkezi'nin (NCSC) yakın tarihli bir paylaşımında bu strateji şu şekilde ifade ediliyor:

Savunucuların lehine olan temel avantaj, savaş alanını şekillendirme yeteneğine sahip olmalarıdır; yani çevrelerini, kendileri için daha iyi çalışacak ve rakibi dezavantajlı duruma düşürecek şekilde şekillendirebilirler.

Ayrıca yapay zeka, tehlikeli yapay zeka faaliyetlerinin devriyesini yapmak için etkili bir şekilde konumlandırılabilir. NCSC paylaşımında, en azından yakın vadede yapay zekanın sistemlere sızma girişimlerinde oldukça hantal olma eğiliminde olduğu açıklanıyor. Bu durum yapay zekanın, tespit edilmesi nispeten kolay olan fark edilebilir güvenlik uyarıları ürettiği anlamına geliyor.

Yine de Bentley için artık bir silahlanma yarışının içinde olduğumuz gayet açık. Profesör mevcut durumu çarpıcı bir benzetmeyle anlatıyor:

Bu, bir grup zeki bilim insanına dünyadaki patlayıcı yapımıyla ilgili tüm olası belgeleri vermek ve onlara bununla eğlenmelerini söylemek gibi bir şey.

İşin endişe verici yanı ise ilk olarak neyin havaya uçacağını tam olarak bilmiyor olmamız.