Claude bir ayda 10.000 kritik açık buldu — yamalar yetişemiyor

Anthropic’in henüz yayımlanmayan bir modeli, yalnızca bir ayda, yaklaşık elli iş ortağı kuruluşun kod tabanında on binden fazla yüksek ve kritik öneme sahip yazılım açığı buldu. Şirket içinde Claude Mythos Preview olarak bilinen model, açık kaynak kütüphanelere, tarayıcılara ve modern internetin önemli bir kısmını çeviren altyapıya yönlendirildi. Sonuç, yazılım güvenliğinde onlarca yıldır geçerli olan denklemi tersine çeviriyor. Hataları bulmak artık işin zor kısmı değil. Zor kısım onları kapatmak.

Programın adı Project Glasswing. Anthropic bu ilk sayı dökümünden yaklaşık bir ay önce projeyi başlattı. Yaklaşık elli iş ortağı kuruluş, modelin kendi üretim kodlarını taramasına izin verdi. Cloudflare modeli kritik sistemlerine saldı ve yaklaşık iki bin bulgu ile geri döndü; bunların dört yüzü yüksek veya kritik olarak sınıflandırıldı. Mozilla modeli Firefox’a karşı çalıştırdı ve tarayıcının bir sonraki büyük sürümünde 271 farklı açık ortaya çıkardı — bu, aynı ekibin önceki sürümde herkese açık Claude Opus 4.6 ile ürettiği sayının on katından fazla.

Bu rakamların anlamı, hangi yazılımı kullandığınıza bağlı. Model, dünya çapında milyarlarca ev tipi yönlendirici, akıllı ev merkezi ve endüstriyel kontrol cihazının içinde çalışan wolfSSL adlı kriptografi kütüphanesinde bir sertifika sahteciliği açığı keşfetti. Açık artık CVE-2026-5194 numarasını taşıyor ve yaması dağıtıma girdi. Aynı tarama biner kadar açık kaynak projeyi de kapsadı ve yaklaşık 6.202 yüksek veya kritik düzeyde olay üretti. Bunlar oyuncak benchmark’lar üzerinde akademik bulgular değil. Şifreli bağlantılarınızı, tarayıcı sekmelerinizi ve kabloların öbür ucundaki makineleri yöneten gerçek kodda bulunan açıklar.

Mythos Preview, kimsenin satın alabileceği bir Claude sürümü değil. Anthropic onu kamuya açmamayı seçti. Şirket, bu ölçekte açık bulan aynı modelin yanlış ellerde endüstriyel ölçekte bir exploit üretim hattına dönüşeceğini savunuyor. “Hiçbir şirket”, duyuruda belirtildiği üzere, “bu tür modellerin kötüye kullanımını engelleyecek kadar güçlü koruma mekanizmaları geliştirmedi.” Şimdilik Mythos Preview, doğrulanmış ortakları ve koordineli açıklama hattı olan kontrollü bir programın içinde yaşıyor.

Model ne tür hatalar buluyor? C ve C++ kütüphanelerinde bellek güvenliği hataları, wolfSSL’dekine benzer sertifika işleme açıkları, ağ protokollerinin uygulamalarında mantık hataları ve yaygın olarak kullanılan servislerde kimlik doğrulama açıkları. Bunlar, on yıllar boyunca gerçek veri ihlallerinin arkasındaki kategoriler. UK AI Security Institute, Mythos Preview’in tam saldırı zincirlerini taklit eden kontrollü ortamlar olan iki uçtan uca cyber range simülasyonunun ikisini birden çözebilen ilk test edilmiş model olduğunu bildiriyor. Bağımsız güvenlik şirketi XBOW, modeli önceki çalışmaya kıyasla “belirgin bir sıçrama” olarak tanımladı ve “kesinlikle benzeri görülmemiş bir hassasiyet” olarak nitelendirdi.

Otomatik tarayıcılarla çalışmış olan herkesin soracağı bir sonraki soru, bu bulguların kaçının gerçek olduğu. Bağımsız güvenlik firmaları yüksek veya kritik olarak işaretlenmiş raporların 1.752 tanesini yeniden inceledi. Yaklaşık yüzde 90,6’sı — 1.587 tanesi — gerçek açık olarak doğrulandı. Bu, fuzzing ya da örüntü eşleme araçlarının tipik gürültü oranından çok daha temiz bir sinyal ve Cloudflare, modelin yanlış pozitif oranının kendi testlerinde insan red team üyelerinden daha iyi olduğunu bildirdi. Ama yine de ondan birinin yanlış alarm olduğu anlamına geliyor. Bu ölçekte bu, yığında yaklaşık bin tane hata-olmayan rapor demek; her biri yine de bir insanın okuyup elemesi gereken bir metin.

Daha zor olan sorun, gerçek bir açık bildirildikten sonra ne olduğu. Bu ilk güncellemenin yapıldığı anda, bakımcılara iletilen 530 yüksek ve kritik açıktan yalnızca 75’i yamalanmıştı. Ortalama düzeltme yaklaşık iki hafta sürüyor. Bazı açık kaynak bakımcıları, durumdan bunaldıkları aktarılan, Anthropic’ten açıklama temposunu yavaşlatmasını istedi. Şirket şöyle yazıyor: “Yazılım güvenliğindeki ilerleme eskiden yeni açıkları ne kadar hızlı bulabildiğimizle sınırlıydı. Şimdi yapay zekânın bulduğu açıkları ne kadar hızlı doğrulayabildiğimiz, bildirebildiğimiz ve yamalayabildiğimizle sınırlı.”

Sıradan bir kullanıcı için pratik sonuç parlak değil. Bugün kullandığınız yazılım — belki bu sayfanın yüklendiği tarayıcının ta kendisi — büyük ihtimalle bir yapay zekânın zaten bildiği ama insanların henüz onarmadığı kritik açıklar barındırıyor. Koordineli açıklama, yamanın kamuya duyurudan önce ulaştığını varsayar ve bu sıralama, yamalar gerçekten zamanında ulaştığında geçerli olur. Project Glasswing şu an için ABD ve Birleşik Krallık’ta demirli. Adı geçen katılımcılar Cloudflare, Mozilla, UK AI Security Institute ve XBOW. Diğer ülkelerin büyük bölümünde benzer bir koordineli açıklama programı yok. Modelin Brezilya, Türkiye, Hindistan, Japonya ya da Kore yazılım yığınlarında bulduğu açıkların aynı aciliyetle ele alınıp alınmayacağı açık bir soru.

Anthropic, Project Glasswing’in yeni ortaklara genişlediğini söylüyor. Mythos Preview modelinin kendisi piyasada değil ve şirket kamuya açılış için bir takvim vermedi; daha geniş bir devreye alma, şirketin mevcut görüşüne göre henüz var olmayan koruma mekanizmaları gerektirir. 2026 yılı içinde ikinci bir güncelleme bekleniyor. İzlenmesi gereken metrik bir yapay zekânın kaç açık bulabildiği olmayacak. Diğer uçtaki insanların kaçını yamalama zamanı bulabildiği olacak.