Cisco'nun Yapay Zeka Destekli Hata Avı: 1,8 Milyar Satır Kod 8 Haftada Tarandı, Sonuçlar Gizli

Cisco'nun duyurusu sırasında her iki model de genel kullanıma açık değildi. Anthropic, özellikle saldırı amaçlı siber yetenekleri nedeniyle Claude Mythos Preview'in kısıtlamasız olarak yayınlanamayacak kadar tehlikeli olduğuna karar vermiş ve modeli yalnızca sıkı gözetim altında, özenle seçilmiş bir endüstri ortakları konsorsiyumuna sunmuştu . OpenAI'ın Daybreak yaklaşımı ise biraz daha genişti; yalnızca sızma testi (red-team) kullanımı için ayrılmış, kapılı bir "GPT-5.5-Cyber" katmanı da dahil olmak üzere kademeli erişim seviyeleri sunuyordu. Ancak en güçlü yetenekler Cisco, CrowdStrike ve devlet kurumları gibi onaylanmış kuruluşlarla sınırlı kaldı .

Cisco'nun bu modeller için kullandığı dahili test düzeneği olan Cisco Foundry Security Spec, modelden bağımsız bir şekilde çalışabildiğinden emin olmak için altı farklı son teknoloji yapay zeka modelinde test edildi. Cisco'nun kendi ifadesiyle, "Model hızlandırıcıdır; koşum takımı ise motordur" .

Kurucu Ortaklıklar: Project Glasswing ve Daybreak

Cisco, son teknoloji yapay zekayı savunma amaçlı siber güvenlik için kullanmayı hedefleyen iki büyük endüstri girişiminin de kurucu üyesidir.

Anthropic'in Project Glasswing: Nisan 2026'da başlatılan Project Glasswing, Claude Mythos Preview erişimini katı koşullar altında, özenle seçilmiş bir ortak grubuna veriyor. Amaç, saldırganlar istismar etmeden önce kritik yazılımlardaki güvenlik açıklarını bulmak ve yamamak. Kurucu katılımcılar arasında AWS, Apple, Google, Microsoft, Nvidia, CrowdStrike, Linux Vakfı ve Cisco bulunuyor . Girişim, tespit edilen güvenlik açıklarının yazılım sahiplerine sorumlu bir şekilde bildirildiği koordineli bir ifşa çerçevesiyle çalışıyor .

OpenAI'ın Daybreak: 11 Mayıs 2026'da duyurulan Daybreak, OpenAI'ın Project Glasswing'e doğrudan kurumsal cevabıdır. GPT-5.5 ve Codex Security üzerine inşa edilen girişim, kod incelemesini ve yama doğrulamasını ölçekli olarak otomatikleştirmek için tasarlanmış, güvenliğe ayarlanmış bir ajan çerçevesinin arkasında üç model katmanını bir araya getiriyor. Cisco, Cloudflare, CrowdStrike ve Palo Alto Networks ile birlikte kurucu ekosistem ortağı olarak katıldı .

Bu iki girişim, yapay zeka endüstrisindeki temel bir felsefi ayrılığı temsil ediyor. Anthropic, en tehlikeli modellere erişimi kontrol etmenin küresel siber güvenliği artırmanın en iyi yolu olduğunu savunurken, OpenAI; federal kurumlardan yerel yönetimlere kadar her seviyedeki devlet kurumu da dahil olmak üzere daha geniş, kademeli erişimi savunarak, alanı yapay zeka destekli savunmacılarla doldurmayı hedefliyor .

Operasyonel Gerekçe: Savunma Zorunluluğu

Cisco'nun belirttiği motivasyon açıktı: Yapay zeka destekli saldırılar artık teorik değil ve savunmacıların insan hızında hareket etme lüksü yok. Anthropic, Claude Mythos Preview'i sakladığını duyurduğunda, aynı anda modelin internetin ve daha geniş ekonominin altında yatan kritik yazılım altyapısındaki zayıflıkları zaten tespit ettiğini de açıkladı . Buradaki mesaj açıktı: Savunma ekipleri bu modelleri önce kullanmazsa, rakipler zamanla eşdeğer yeteneklere erişecekti.

Cisco, 1,8 milyar satırlık taramayı bu kaçınılmazlığa karşı bir yarış olarak çerçeveledi. Şirket, son teknoloji modellerin "daha önce hiç elde edilmemiş bir ölçekte güvenlik açıkları bulduğunu ve bunun tek seferlik bir şey olmadığını. Bu modeller yeni güvenlik açıkları bulmaya devam edecek" dedi . Cisco, taramayı tüm portföyünde çalıştırarak, benzer modelleri aynı zayıflıkları kötü niyetle tespit etmek için kullanabilecek saldırganların bir adım önüne geçmeyi amaçladı.

Rahatsız Edici Sessizlik: Cisco Açık Sayısını Açıklamıyor

Hız ve ölçekle ilgili tüm bu tantanaya rağmen Cisco, en önemli soruyu sistematik olarak yanıtlamaktan kaçındı: Modeller gerçekten kaç tane güvenlik açığı buldu? Birçok rapor, Cisco'nun keşfedilen "toplam güvenlik açığı sayısını açıklamayı reddettiğini", herhangi bir sayım, önem derecesi dökümü veya kritik ya da istismar edilebilir bulgu sayısı vermediğini doğruluyor .

Bu sessizlik bariz bir güvenilirlik sorunu yaratıyor. Modeller binlerce ciddi hata bulduysa, bu sayıyı açıklamak tüm çalışmayı doğrular—ancak müşterileri ve düzenleyicileri de telaşlandırabilir. Eğer nispeten az sayıda açık buldularsa, "sekiz hafta, sekiz yıla bedel" kurgusu çöker. Her iki durumda da Cisco, yapay zeka tarama çabasının "dönüştürücü gücünü" överken sayıyı gizli tutmayı seçti .

Politika Değişikliği: Yapay Zeka ile Hızlanmış Bir Dünya İçin Öngörülebilir Duyurular

Cisco Live 2026'da somut ve uygulanabilir bir değişiklik ortaya çıktı: Temmuz ayından itibaren Cisco, önceki programsız güvenlik açığı ifşa modelini terk ederek öngörülebilir, planlı bir yaklaşıma geçiyor. Şirket artık güvenlik bültenlerini her ayın 1. ve 3. Çarşamba günleri yayınlayacak ve her yayında hangi teknolojilerin ve platformların ele alınacağını listeleyen yedi günlük bir ön bildirim sunacak .

Bu gerekçe doğrudan yapay zeka tarama programına bağlı. Cisco Ürün Güvenliği Olay Müdahale Ekibi (PSIRT), yapay zeka ile hızlandırılmış güvenlik açığı keşfinin bulgu hacmini önemli ölçüde artırmasını bekliyor ve ayda iki kezlik bir tempo, kurumsal müşterilere sürpriz bültenlere çılgınca yanıt vermek yerine yama döngülerini planlamak için ihtiyaç duydukları öngörülebilirliği sağlamak üzere tasarlandı . Belirli bir yayın penceresi için herhangi bir güvenlik yayını planlanmamışsa, Cisco bunu da iletecek .

İngiltere Değerlendiricilerinin Bulguları: Yetenek Her 4,7 Ayda Bir İkiye Katlanıyor

Cisco kendi kod tabanını tararken, İngiltere'nin Yapay Zeka Güvenlik Enstitüsü (AISI), Cisco'nun kullandığı iki modeli bağımsız olarak değerlendiriyordu ve bulgular düşündürücüydü. Nisan ve Haziran 2026 arasında yayınlanan bir dizi değerlendirmede AISI şunları tespit etti :

• Claude Mythos Preview, "daha önce değerlendirdiğimiz tüm modellerden önemli ölçüde daha yetenekli bir siber saldırı kapasitesine sahip." İngiltere hükümeti, bu bulguyu Nisan 2026'da Bakan Liz Kendall ve Güvenlik Bakanı Dan Jarvis tarafından tüm İngiltere iş dünyası liderlerine gönderilen ve yönetim kurullarını yapay zeka kaynaklı siber riski birinci derece yönetişim sorumluluğu olarak görmeye çağıran açık bir mektupta doğrudan alıntıladı . Mythos Preview, uzman seviyesindeki bayrak kapmaca (CTF) görevlerinde %73 başarı oranına ulaştı—bu, enstitünün değerlendirdiği herhangi bir model için bir ilk .

• GPT-5.5, AISI'nin 32 adımlı kurumsal ağ saldırı simülasyonunu uçtan uca tamamladı; bu, enstitünün bir insan uzmanın kabaca 20 saatini alacağını tahmin ettiği bir kıyaslamadır. Model ayrıca, AISI'nin 95 dar kapsamlı CTF siber görevinden oluşan paketindeki birçok testi tavan yaptırarak, son teknoloji model siber riskini anlamlı bir şekilde ölçmek için temel kıyaslamaların artık yetersiz kaldığını gösterdi . Uzman seviyesindeki ileri görevlerde GPT-5.5, Mythos Preview için yaklaşık %69 ve önceki nesil GPT-5.4 için yaklaşık %52'ye kıyasla, ortalama %71 civarında bir geçme oranı elde etti .

• Genel trend hızlanıyor: AISI, son teknoloji yapay zeka modellerinin siber görevleri otonom olarak tamamlama yeteneğinin artık her 4,7 ayda bir ikiye katlandığını tespit etti; bu, enstitünün Kasım 2025'te kaydettiği 8 aylık ikiye katlanma aralığından keskin bir düşüş. Hem Claude Mythos Preview hem de GPT-5.5, bu dikleşen trend çizgisini bile önemli ölçüde aştı .

4,7 aylık bir ikiye katlanma oranının sonuçları çarpıcıdır. Eğer trend devam ederse, yaklaşık bir buçuk yıl içinde yapay zeka sistemleri, bugün uzman insan operatör ekiplerinin haftalar veya aylarca çalışmasını gerektiren siber görevleri otonom olarak tamamlayabilir. AISI, her iki modelin daha yeni sürümlerinin mevcut 95 görevlik değerlendirme paketini zaten tavan yaptırdığını ve kıyaslamaların modellerin yeteneklerinin tam kapsamını artık ölçemediği için "oldukça belirsiz zaman ufukları" ürettiğini belirtti .

Büyük Resim: Savunma Amaçlı Bir Silahlanma Yarışı Mantığı

Cisco'nun duyurusu, AISI değerlendirmeleriyle birlikte ele alındığında, yapay zeka yakıtlı bir savunma silahlanma yarışını kabul etmiş ve buna aktif olarak katılan bir endüstrinin resmini çiziyor. 1,8 milyar satır kodu güvenlik açıkları için tarayabilen aynı son teknoloji modeller, teorik olarak saldırganlar tarafından bu aynı güvenlik açıklarını herhangi bir insan kırmızı takımdan daha hızlı bulmak ve istismar etmek için kullanılabilir.

Hem Project Glasswing'in hem de Daybreak'in mantığı, en iyi savunmanın, en yetenekli modelleri önce en sorumlu kuruluşlara, sıkı kontroller altında vermek olduğudur; böylece saldırı yetenekleri yayılmadan önce kritik altyapıyı yamayabilirler. Cisco'nun 1,8 milyar satırlık taraması, bu tezin bugüne kadarki en büyük gerçek dünya testidir. Ancak şirketin gerçek hata sayısını saklama kararı, endüstrinin geri kalanına cezbedici ama eksik bir kavram kanıtı ve bulgu hacminin kalıcı bir operasyonel değişiklik gerektirecek kadar önemli olduğunu düşündüren yeni, yapay zeka güdümlü bir ifşa temposu bırakıyor.