Anthropic ekibi 5 Şubat 2026 tarihinde yeni nesil yapay zeka modeli Claude Opus 4.6 sürümünü resmen tanıttı. Bu model özellikle siber güvenlik alanındaki gelişmiş yetenekleriyle önceki nesillere göre çok daha iddialı bir konuma yerleşiyor. Şirketin yaptığı kapsamlı testlerde model açık kaynaklı yazılımlarda daha önce kayıtlara geçmemiş 500den fazla yüksek önem dereceli güvenlik açığı tespit etti. Bu açıkların her biri uzman ekipler ve bağımsız araştırmacılar tarafından doğrulanmış durumda ve yamalar ilgili projelere gönderiliyor. Claude Opus 4.6 bu keşifleri yapmak için özel fuzzing iskeleleri veya niş araç setlerine ihtiyaç duymuyor. Model yalnızca standart geliştirme ve güvenlik araçlarının yüklü olduğu sanal makine ortamında serbest bırakılıyor ve ona açık avı yapması yönünde doğrudan bir talimat verilmiyor. Buna rağmen sistem kod tabanını kendi inisiyatifiyle analiz ediyor ve savunmasız noktalar hakkında tutarlı teknik raporlar üretebiliyor. Böylece büyük dil modellerinin artık klasik güvenlik açığı tarama teknikleriyle hız ve karmaşıklık seviyesi açısından yarışabilecek bir çizgiye geldiği net şekilde ortaya çıkıyor.
Geleneksel fuzzing araçlarından farklı olarak insan benzeri akıl yürütme kullanılıyor
Claude Opus 4.6 rastgele girdi bombardımanı yapan tipik fuzzing yaklaşımlarının tersine kodu anlamaya dayalı bir strateji izliyor. Model önce projelerin Git commit geçmişlerini inceliyor ve güvenlikle ilişkili değişiklikleri işaretleyen kritik commit mesajlarını belirliyor. Ardından bu değişikliklerin öncesindeki kod yollarını analiz ederek savunmasız kalmış benzer desenler arıyor. GhostScript üzerinde yapılan çalışmalarda yazı tipi işleme sırasında yığın sınır kontrolleriyle ilgili önemli bir düzeltme commitinin altını çizdi. Sistem bu kontrolün yalnızca belirli bir fonksiyona eklendiğini ancak gdevpsfx dosyasındaki başka bir çağrı yolunda sınır kontrolü bulunmadığını mantık yoluyla çıkardı. Benzer şekilde OpenSC projesinde strcat kullanan ve uzunluk kontrolü yapmayan işleyicileri saptadı ve belirli koşullar altında 4096 baytlık tampon taşmasına yol açabilecek bir senaryoyu detaylandırdı. CGIF kütüphanesinde ise LZW sıkıştırma algoritmasını kavrayarak normalde girişten daha küçük veri üretmesi beklenen bu yapının bazı uç durumlarda daha büyük çıktı üretebileceğini gösterdi. Model sembol tablosunu bilinçli şekilde dolduran ve clear sembollerini tetikleyen bir kavram kanıtı üretti ve bu durum tampon taşmasına yol açtı. Bu örnekler yalnızca satır kapsamı değil algoritmik kavrayış gerektirdiği için klasik araçların gözünden yıllarca kaçmıştı.
Yüzlerce açığın doğrulanması ve güvenlik topluluğuyla yürütülen ortak süreç
Anthropic ekibi yanlış pozitiflerin açık kaynak geliştiricilerini bunaltmaması için oldukça sıkı bir doğrulama hattı kurdu. Öncelik özellikle adres denetleyiciler ve çökme gözlemiyle kolayca teyit edilebilen bellek bozulması türü açıklar üzerinde yoğunlaştı. Claude Opus 4.6 kendi bulgularını önce eleştirel biçimde tekrar gözden geçirdi ve tekrarlanan çökmeleri birleştirdi ve önem derecesine göre yeniden sıraladı. Ardından Anthropic şirketinin güvenlik araştırmacıları her bir kaydı manuel olarak inceledi ve ilk etapta yamaları kendi elleriyle yazdı. Zamanla keşif hacmi arttığında dışarıdan deneyimli güvenlik uzmanları da sürece dahil edildi ve yama geliştirme ile doğrulama yükü paylaşıldı. Şirket şu ana kadar tespit edilen 500den fazla açığın tamamının gerçek ve istismar edilebilir olduğunu doğruladığını açıkladı. Yamalar ilgili projelere gönderilmeye başlandı ve birçok popüler açık kaynak bileşende düzeltmelerin ana dala indiği görüldü. Anthropic bu çalışmada özellikle kurumsal altyapılarda kullanılan kritik açık kaynak kütüphanelere öncelik verdiğini belirtti. Çünkü bu yazılımlar genellikle küçük ekipler veya gönüllüler tarafından bakımı yapılan ve sınırlı güvenlik kaynağına sahip projelerden oluşuyor.
Güçlü savunma kabiliyetleriyle gelen saldırı amaçlı kullanım riskine karşı yeni korumalar
Böylesine yetenekli bir modelin varlığı hem savunma hem saldırı tarafı için oyunun kurallarını değiştiriyor. Anthropic bu nedenle Claude Opus 4.6 lansmanı ile birlikte kötüye kullanım riskini azaltmak için yeni güvenlik katmanları eklediğini duyurdu. Şirket modelin yanıt üretimi sırasında iç aktivasyonlarını ölçen ve siber güvenlik bağlamında tasarlanmış 6 yeni prob geliştirdi. Bu prob sistemleri yanıtın amaç dışı saldırı içeriğine kayıp kaymadığını gerçek zamanlı olarak tarıyor ve şüpheli durumlarda isteği engelleyebilen uygulama akışlarını tetikliyor. Güncellenen yaptırım süreçleri zararlı trafik tespit edildiğinde anlık müdahaleyi mümkün kılıyor ancak bu durum meşru güvenlik araştırmalarında da sürtünme yaratma potansiyeline sahip bulunuyor. Anthropic toplulukla birlikte çalışarak savunma amaçlı kullanımı korurken kötü niyetli faaliyetleri sınırlandıran dengeyi aramayı taahhüt ediyor. Model eğitim sürecinde 10 milyondan fazla saldırı odaklı prompt ile karşılaştı ve veri sızdırma ile kötü amaçlı yazılım yayma gibi alanlarda katı reddetme protokolleri yerleştirildi. Kör testlerde Claude Opus 4.6 toplam 40 ayrı siber güvenlik senaryosunun 38 tanesinde önceki Claude 4.5 ailesinin önüne geçti. Bu sonuçlar büyük dil modellerinin artık deneyimli insan araştırmacılarla yarışan bir hız ve kapsamda zero day bulabildiğini gösteriyor.
Henüz hiç yorum yapılmamış. İlk yorumu sen yap!
