Anthropic'in Gizli Silahı Project Glasswing: 27 Yıllık OpenBSD Açığını Bulan Yapay Zeka

Bu hamlenin ardındaki mantık oldukça net. Anthropic, bu kritik altyapı gruplarından birine yapılacak başarılı bir siber saldırının ciddi bir sistemik riske yol açabileceğini öngörüyor. Şirket, en güçlü güvenlik aracını doğrudan temel hizmetleri yürüten kuruluşların ellerine vererek, proaktif ve geniş çaplı bir savunmanın kötü niyetli aktörleri geride bırakabileceği üzerine bir bahse giriyor .

Yeni dalgadaki belirli isimler, programın küresel erişimini ve stratejik derinliğini gözler önüne seriyor. Ayrıcalık merkezli kimlik güvenliği (PAM) lideri BeyondTrust, 8 Haziran 2026'da programa katıldı. Kod tabanı hükümetler ve temel hizmetlerin derinliklerine işlemiş olan şirket, Mythos Preview erişimini tüm ürün portföyünde güvenlik açığı tespitini ve düzeltilmesini hızlandırmak için kullanacak .

Birkaç gün önce, 5 Haziran'da ise Hitachi katılımını duyurdu. Japon sanayi devi, Mythos Preview'i enerji şebekelerinin, ulaşım ağlarının ve kentsel altyapı sistemlerinin dijital temelini oluşturan sosyal altyapı yazılımlarına uygulayacak .

Bu yeni ortaklar; Amazon Web Services, Apple, CrowdStrike, Google, Microsoft, NVIDIA ve ABD hükümet kurumlarını içeren mevcut kadroya katılarak, tarihte az benzeri görülmüş bir sektörler arası savunma koalisyonu oluşturuyor .

Siber güvenliğin kurallarını yıkan bir model

Project Glasswing'in arkasındaki stratejik aciliyet, doğrudan Claude Mythos Preview'in ürkütücü yeteneklerine bir yanıt. Anthropic'in kendi dokümantasyonu, modeli "bilgisayar güvenliği görevlerinde çarpıcı derecede yetenekli" olarak tanımlıyor. Model, sadece bir asistan değil, otonom bir güvenlik açığı araştırmacısı ve istismar kodu (exploit) geliştiricisi olarak çalışıyor .

Anthropic, dahili testler sırasında Mythos Preview'in bir kullanıcı tarafından yönlendirildiğinde, tüm büyük işletim sistemlerinde ve tüm büyük web tarayıcılarında sıfır gün açıklarını tespit edip, ardından otonom olarak çalışan istismar kodları oluşturabildiğini doğruladı . Modelin üretim kapasitesi, önceki kıyaslamaları alt üst ediyor. Firefox 147 ile yapılan karşılaştırmalı bir testte Mythos Preview, çalışan 181 adet JavaScript shell istismar kodu üretirken, önceki lider model Claude Opus 4.6 yalnızca iki tane üretebilmişti .

Mayıs 2026'nın sonu itibarıyla Project Glasswing ortakları, modeli kullanarak 10.000'den fazla yüksek veya kritik önemde güvenlik açığı tespit etti . Cloudflare'da yapılan tek bir ilk taramada yaklaşık 400 kritik önemde hata ortaya çıkarılırken, Mozilla bulguları kullanarak Firefox 150'deki 271 güvenlik açığını yamaladı . 1.000'den fazla açık kaynaklı projede model toplam 23.019 sorunu işaretledi ve profesyonel güvenlik uzmanları tarafından manuel olarak incelenen bir örneklemin %89'unda modelin belirlediği önem derecesi doğrulandı .

Onlarca yıllık güvenlik açıklarını gün yüzüne çıkarmak

Mythos Preview'in en çarpıcı başarılarından biri, güvenlik konusundaki katı ünüyle bilinen bir işletim sistemi olan OpenBSD'deki 27 yıllık bir hatayı tespit etmesiydi. Hata, bir saldırganın sadece iki paketle herhangi bir OpenBSD sunucusunu çökertmesine olanak tanıyordu. İnsan güvenlik denetçilerinin ve otomatik 'fuzzer' testlerinin yıllarca gözünden kaçan bu açığı bulmanın Anthropic'e maliyeti yaklaşık 20.000 dolarken, bulguyu ortaya çıkaran spesifik model çalıştırmasının maliyeti 50 doların altındaydı . Ayrıca, FreeBSD'nin NFS sunucusunda, internete bağlı herhangi bir saldırgana kimlik doğrulaması olmadan tam yetkili (root) erişim sağlayan 17 yıllık bir uzaktan kod yürütme (RCE) açığı da bulundu .

Yayınlanmayacak kadar güçlü bir model

Anthropic, Claude Mythos Preview'in çift kullanımlı (savunma ve saldırı) riskleri nedeniyle modeli genel kullanıma kapalı tutma kararı aldı. Modele yalnızca Project Glasswing'in davetiye usulü programı aracılığıyla erişilebiliyor ve katılımcılar, saldırı amaçlı kullanımı yasaklayan sıkı sözleşmeler imzalıyor . Şirket, bu girişimi desteklemek için katılımcı kuruluşların kod tabanlarını tarama bilgi işlem maliyetlerini karşılamak üzere 100 milyon dolara kadar model kullanım kredisi taahhüt etti ve ayrıca açık kaynaklı güvenlik gruplarına 4 milyon dolarlık bağış sözü verdi .