181 çalışan exploit. Claude Mythos Preview tek bir kıyaslamada bunu başardı — Firefox JS motorundaki kusurları shellcode’a dönüştürerek — oysa Opus 4.6 yüzlercesinde sadece iki kez tutturabildi.
Asıl çarpıcı kısım: Bunu güvenlikten anlamayan mühendisler yaptı. Tek bir prompt’la modeli gece bırakıp sabah kalktıklarında tam uzaktan kod çalıştırma zincirleri hazır buldular.
Bir Dil Modeli Sıfır Gün Zafiyetlerini Nasıl Avlıyor?
Bakın, AI’nin hata yamalaması yeni değil — Opus geçen ay kırdığından fazlasını düzeltti. Ama Mythos oyunu tersine çeviriyor. Çöküşleri işaretlemekle yetinmiyor; bunları tersine mühendislikle yetki yükseltmelerine, NFS paketleri üstünden dağılmış ROP zincirlerine, kum kutusunu delen JIT spreylerine dönüştürüyor.
Takımın blogunda OSS-Fuzz maratonunun detayları var: binlerce depo, aptal çöküşlerden (seviye 1) tam ele geçirmeye (seviye 5) kadar. Mythos bu merdiveni hızla tırmanıyor — tamamen özerk.
Testlerimizde Mythos Preview’ın, kullanıcının yönlendirmesiyle her büyük işletim sisteminde ve her büyük web tarayıcısında sıfır gün zafiyetleri tespit edip bunları exploit edebildiğini gördük.
Anthropic’in kendi ağzından, Nicholas Carlini gibi iki düzine güvenlik devi imzalı bir yazıdan. Abartı yok — saf eval verisi.
Peki neden şimdi? Mimari ölçekten. Mythos, kırmızı takımcının iş akışını taklit eden akıl yürütme zincirleri taşıyor: kodu tara, yarış hipotezi kur, yük hazırla, kaçış test et. Önceki modeller tespit’te tıkanıyordu; bu CTF’leri insan gibi öğütüyor.
Tek cümle: Alarm zilleri.
27 Yıllık OpenBSD Hayaletini Neden O Çıkardı?
OpenBSD. Paranoyakların OS’i. Mythos 1999’dan yamalanmış bir hatayı gün yüzüne çıkardı — ince, tozlu, on yıllardır gözden kaçmış.
Nasıl mı? Bu modeller satır satır taramaz; mimarileri kavrar. NFS’te gizli yarışları, Linux’ta KASLR bypass’larını, tarayıcılarda render kaçışlarını paternliyor. Tek tarayıcı patlamasında dört sıfır gün zafiyeti zincirledi — heap sprey, kum kutusu kırılması, her şey.
Şüpheci misiniz? Bulduklarının %99’unu dökemiyorlar — yamalanmamış, sorumlu açıklama bekliyor. Ama o %1? Yeterince sinyal veriyor.
Benim yorumum — buraya özgü: Bu 90’ların buffer overflow patlamasını andırıyor. O zamanlar stack canary’ler ve ASLR ezici saldırıları bitirdi. Şimdi AI canlandırıyor, ama sofistike. Yeni bir silahlanma yarışı bekleyin: AI savunucular vs AI saldırganlar. Anthropic’in Project Glasswing’i? Onların Manhattan Projesi anı — koordine ol ya da interneti kaybedersin.
Güvenliksizler bir gecede root’a. Sıfır insan dokunuşu exploit iskeleleri. Geçen ay sıfıra yakın başarıdan hâkimiyete.
Exploit’ler mi? Oyuncak buffer overflow değil. FreeBSD NFS’te yetkisiz kullanıcılara tam RCE. Paketler üstünden gadget ROP.
Anthropic’in Abartısı Haklı mı — Yoksa PR Oyun mu?
Buna ‘dönüm noktası’ diyorlar. Cesur. Ama veri destekliyor: her OS, her tarayıcı. Kapalı kaynak tersine mühendislik bile, N gün exploit’e.
Eleştiri vakti — saldırgan yanı küçümsüyorlar. ‘Kritik yazılımları güvene alalım,’ tamam. Ama yetenekler çift kullanımlı haykırıyor. Kötü aktörler de prompt’layacak — ön izleme açık olsa da.
Neden: Sınır eğitiminden çıkan özellik. Daha uzun bağlamlar, daha iyi exploit geliştirme simülasyonları. Opus zincirelemezdi; Mythos zincirliyor.
Tahmin: 2027’ye kadar zafiyetler hızla kurur — ya da modeller zincirleri herkese sızdırınca patlar.
Savunucular, kulak verin. Yarışları dün yamayın. Kendi AI’nizi triyaj için kurun. Sektör? Anthropic’in dediği gibi koordine olun — yoksa exploit’ler metalaşır.
Claude Mythos Preview Neden Savunucuları En Çok Korkutuyor?
Genel amaçlı diye. Silolu güvenlik aracı değil — tam LLM, güvenlik bonusu olarak ezer. Her kod tabanına, her mimariye ölçeklenir.
Güvenlik dışı tipler kullanıyor. Script kiddies’i kahvaltı öncesi sıfır gün zafiyetlerini zincirleyen hayal edin.
Tarihi paralellik: 88 Morris Solucanı otomatik exploit’lerle neti neredeyse devirdi. Bu? Üstel daha kötü, özerk.
Anthropic’in tavsiyesi: Acil eylem. Haklılar — ama rakipleri d
