Project Glasswing: Anthropic'in Yapay Zeka Siber Güvenlik Programı (2026)
Anthropic'in Project Glasswing'i, sıfırıncı gün (zero-day) açıklarını büyük ölçekte bulmak için Claude Mythos Preview'u kullanıyor. 100 milyon dolar taahhüt edildi. Halka açık değil. Tüm detaylar.
TL;DR
| Detay | Project Glasswing |
|---|---|
| Nedir | Anthropic'in savunma amaçlı siber güvenlik girişimi |
| Gücünü aldığı teknoloji | Claude Mythos Preview — Anthropic'in en yetenekli modeli |
| Temel yetenek | Sıfırıncı gün (zero-day) açıklarını otonom olarak keşfeder ve istismar eder |
| Kapsam | Tüm büyük işletim sistemleri ve tarayıcılarda binlerce sıfırıncı gün açığı buldu |
| Kamu erişimi | Yok — genel kullanıma sunulmayan ilk Anthropic modeli |
| Ortaklar | AWS, Apple, Microsoft, Google, NVIDIA, Cisco, CrowdStrike, JPMorgan Chase, Broadcom, Palo Alto Networks, Linux Foundation |
| Finansal taahhüt | 100 milyon dolar kullanım kredisi + 4 milyon dolar açık kaynak güvenlik bağışı |
| Duyurulma tarihi | 7 Nisan 2026 |
Project Glasswing Nedir?
Project Glasswing, Anthropic'in kritik yazılımlardaki keşfedilmemiş siber güvenlik açıklarını, hiçbir insan ekibinin ulaşamayacağı bir ölçekte tanımlamak ve düzeltmek için yapay zekayı kullanma girişimidir.
Adını şeffaf kanatlarıyla bilinen ve güvenlikte şeffaflığı simgeleyen cam kanatlı kelebekten (glasswing butterfly) alan proje, Anthropic'in halka açılmayacak kadar güçlü gördüğü bir sınır model olan Claude Mythos Preview üzerine inşa edilmiştir.
Dayanak noktası oldukça basit: Eğer yeni nesil yapay zeka modelleri güvenlik açıklarını otonom olarak bulup istismar edebiliyorsa, savunmacıların, saldırganlar kendi araçlarını geliştirmeden önce bu yeteneklere erişmesi gerekir. Anthropic, Mythos Preview modelini dünyaya sunup her şeyin yolunda gitmesini ummak yerine, onu dünyanın bağımlı olduğu yazılımları yöneten kuruluşlar için savunma amaçlı bir araç olarak konuşlandırmayı seçti.
Bu durum Project Glasswing'i türünün ilk örneği olan bir program haline getiriyor; bir yapay zeka şirketi, en gelişmiş modeline erişimi kasıtlı olarak kısıtlıyor ve yeteneklerini belirli bir savunma görevine yönlendiriyor.
Project Glasswing Neden Var?
Dahili testler sırasında Anthropic, Claude Mythos Preview modelinin daha önceki hiçbir yapay zeka modelinin gösteremediği bir şeyi yapabildiğini keşfetti: gerçek dünya üretim yazılımlarında otonom olarak sıfırıncı gün açıklarını bulmak ve istismar etmek.
7 Nisan 2026'da yayınlanan 244 sayfalık sistem kartından:
"Claude Mythos Preview, büyük işletim sistemlerinde ve web tarayıcılarında otonom olarak sıfırıncı gün açıklarını keşfetme ve istismar etme yeteneği de dahil olmak üzere, önceki modellere kıyasla siber yeteneklerde çarpıcı bir sıçrama göstermiştir."
Buradaki anahtar kelime "otonom"dur. Önceki yapay zeka modelleri, uzmanlar tarafından yönlendirildiğinde güvenlik açığı araştırmalarına yardımcı olabiliyordu. Mythos Preview ise tüm süreci kendi başına yürütebilir: kaynak kodunu okumak, potansiyel kusurlar hakkında hipotezler oluşturmak, konsept kanıtı (proof-of-concept) exploitleri yazmak ve yeniden üretim adımlarını içeren eksiksiz hata raporları oluşturmak.
Anthropic, kendi modelleri bunu yapabiliyorsa, benzer yeteneklerin başka yerlerde ortaya çıkmasının sadece an meselesi olduğunu fark etti. Soru şuydu: Savunmacılara bir avantaj mı sağlayacağız, yoksa bekleyip umut mu edeceğiz?
Avantaj sağlamayı seçtiler.
Siber Yetenekler: Mythos Preview Aslında Ne Yapabilir?
Anthropic'in test sonuçları hem genişlik hem de derinlik açısından dikkat çekicidir.
Kritik Altyapılarda Binlerce Sıfırıncı Gün
Haftalarca süren bir dönemde Claude Mythos Preview, aşağıdakiler dahil olmak üzere binlerce daha önce bilinmeyen güvenlik açığı (birçoğu kritik olarak derecelendirilmiş) tanımladı:
- Her büyük işletim sistemi (Windows, macOS, Linux, FreeBSD, OpenBSD)
- Her büyük web tarayıcısı (Chrome, Firefox, Safari, Edge)
- Diğer kritik yazılım altyapısı bileşenleri
Açıklanan Belirli Güvenlik Açıkları
Yamalanmış ve kamuya açık olarak tartışılabilecek hatalar arasında şunlar yer almaktadır:
- CVE-2026-4747 — FreeBSD'de 17 yıllık bir uzaktan kod yürütme (RCE) açığı. Kusur NFS uygulamasında mevcuttu ve internetin herhangi bir yerindeki kimliği belirsiz bir saldırganın root erişimi kazanmasına izin veriyordu. Mythos Preview bunu buldu ve tamamen otonom olarak çalışan bir exploit oluşturdu.
- OpenBSD'de 27 yıllık bir hata — OpenBSD'nin tüm kimliğinin güvenlik üzerine kurulu olması nedeniyle dikkat çekicidir. Bu, modelin keşfettiği en eski güvenlik açığıdır.
- FFmpeg'in H.264 kodeğinde 16 yıllık bir açık — dünyanın en yaygın kullanılan multimedya işleme kütüphanelerinden birini etkiliyor.
Gelişmiş Exploit Geliştirme
Mythos Preview sadece hata bulmakla kalmaz. Bunları karmaşık saldırı dizileri halinde birbirine bağlar:
- Bir vakada, hem renderer sandbox'ından hem de işletim sistemi sandbox'ından kaçan bir JIT heap spray içeren ve dört ayrı güvenlik açığını birbirine bağlayan bir web tarayıcısı exploiti yazdı.
- İnce race condition ve KASLR bypass durumlarını istismar ederek Linux üzerinde otonom olarak yerel yetki yükseltme (local privilege escalation) exploitleri geliştirdi.
- Geliştirici değerlendirmesi için hazır, profesyonel hata raporları şeklinde formatlanmış, yeniden üretim adımlarını içeren eksiksiz konsept kanıtı exploitleri oluşturur.
Teknik Olarak Nasıl Çalışıyor?
Anthropic, Mythos Preview'u kendi ajan tabanlı kodlama ortamları olan Claude Code üzerinden çalıştırıyor. Model, güvenlik açıklarını bulması için yönlendiriliyor ve ardından ajan olarak şunları yapıyor:
- Saldırı yüzeyini anlamak için kaynak kodunu okur
- Kod kalıplarına dayanarak potansiyel açıklar hakkında hipotezler kurar
- Hipotezlerini doğrulamak için test ortamları ve exploit kodları yazar
- Çalışan konsept kanıtı exploitleri ile yapılandırılmış hata raporları üretir
Ortaklar Kimler?
Project Glasswing, 12 kurucu ortakla başladı ve o zamandan beri 40'tan fazla kuruluşa yayıldı.
Kurucu Ortaklar
| Kuruluş | Rol |
|---|---|
| Amazon Web Services | Bulut altyapı sağlayıcısı |
| Apple | İşletim sistemi ve tarayıcı satıcısı |
| Broadcom | Yarı iletken ve altyapı yazılımı |
| Cisco | Ağ ve güvenlik altyapısı |
| CrowdStrike | Uç nokta güvenlik platformu |
| İşletim sistemi, tarayıcı ve bulut satıcısı | |
| JPMorgan Chase | Finansal altyapı |
| Linux Foundation | Açık kaynak yazılım ekosistemi yöneticisi |
| Microsoft | İşletim sistemi, tarayıcı ve bulut satıcısı |
| NVIDIA | GPU ve yapay zeka altyapısı |
| Palo Alto Networks | Ağ ve bulut güvenliği |
Ortak listesi genişliğiyle dikkat çekiyor. İşletim sistemi satıcılarını (Apple, Microsoft, Google), bulut sağlayıcılarını (AWS, Google, Microsoft), güvenlik şirketlerini (CrowdStrike, Palo Alto Networks), finansal altyapıyı (JPMorgan Chase) ve açık kaynak ekosistemini (Linux Foundation) kapsıyor.
Açık Kaynak Finansmanı
Anthropic, açık kaynak güvenlik kuruluşlarına 4 milyon dolarlık doğrudan bağış taahhüt etti:
- Linux Foundation aracılığıyla Alpha-Omega ve OpenSSF'e 2,5 milyon dolar
- Apache Software Foundation'a 1,5 milyon dolar
100 Milyon Dolarlık Taahhüt
Anthropic, Project Glasswing kapsamında Mythos Preview için 100 milyon dolara kadar kullanım kredisi taahhüt ediyor.
Bu rakam, otonom güvenlik açığı keşfinin bilgi işlem yoğunluklu doğasını yansıtmaktadır. Her büyük yazılım projesindeki milyonlarca satır kod üzerinde Mythos Preview'u çalıştırmak maliyetlidir. Anthropic, ortaklardan ücret almak yerine kredi sağlayarak, aksi takdirde savunma çalışmalarını yavaşlatacak olan maliyet engelini ortadan kaldırıyor.
Bağlam açısından, 100 milyon dolarlık kredi, saldırganlar bunlardan yararlanmadan önce güvenlik kusurlarını bulmaya ve belgelemeye adanmış on binlerce GPU saati anlamına gelir.
Model Neden Halka Açık Olarak Yayınlanmıyor?
Bu herkesin sorduğu sorudur. Anthropic'in gerekçesi üç katmanlıdır:
1. Çift kullanım riski aşırıdır. Mythos Preview'u savunma için değerli kılan yeteneğin aynısı — otonom olarak sıfırıncı günleri bulma ve istismar etme — onu saldırı için de aynı derecede değerli kılar. Onu halka açmak, dünyadaki her saldırgana, herhangi bir insan ekibinin yamalayabileceğinden daha hızlı istismar edilebilir açıklar bulabilen bir araca erişim sağlamak demektir. 2. Asimetri saldırganların lehinedir. Saldırganların tek bir güvenlik açığı bulması yeterlidir. Savunmacıların hepsini yamalaması gerekir. Halka açık bir güvenlik açığı bulan yapay zeka, savunmacıların da erişimi olsa bile bu asimetriyi saldırganlar lehine daha da bozacaktır. 3. Kontrollü dağıtım işe yarıyor. Anthropic, erişimi kritik altyapıyı yöneten kuruluşlarla sınırlayarak, modelin çıktısının doğrudan yama hattına gitmesini sağlar. Güvenlik açıkları bulunur, koordineli açıklama yoluyla raporlanır ve düzeltilir — exploit kodu dışarı sızmadan.Bu, Claude Mythos Preview'u genel kullanıma sunulmayan ilk Anthropic modeli yapmaktadır. Sistem kartı tam olarak (244 sayfanın tamamı) yayınlandı, ancak modelin kendisi kısıtlı kalmaya devam ediyor.
Sektör Tepkileri ve Endişeler
Project Glasswing, teknoloji ve politika dünyasında önemli bir ilgi topladı.
Olumlu Karşılamalar
Güvenlik araştırmacıları ve sektör liderleri girişimi geniş çapta övdü. Simon Willison, açıklanan yetenekler göz önüne alındığında Mythos'un güvenlik araştırmacılarıyla sınırlandırılmasının "gerekli göründüğünü" belirtti. Girişim, CNBC'ye göre Fed Başkanı Powell, Hazine Bakanı Bessent ve büyük ABD banka CEO'ları arasında tartışıldı; bu da yapay zeka odaklı güvenlik açığı keşfinin sistemsel önemini yansıtıyor.
Şüpheler ve Endişeler
Herkes ikna olmuş değil. Bazı sektör emektarları, güvenlik açıklarını bulmanın hiçbir zaman asıl engel olmadığını — asıl sorunun kuruluşların bunları gerçekten düzeltmesini sağlamak olduğunu savunuyor. Fortune'un bildirdiği gibi, keşif ve düzeltme arasındaki boşluk güvenlik zincirindeki en zayıf halka olmaya devam ediyor.
Diğerleri, bir yapay zeka şirketinin hangi kuruluşların güçlü yeteneklere erişip hangilerinin erişemeyeceğine karar vermesi emsalinden endişe duyuyor. Birleşik Krallık Yapay Zeka Güvenlik Enstitüsü (AISI), iddiaların bağımsız bir değerlendirmesini sunarak Mythos Preview'un siber yetenekleri hakkında kendi değerlendirmesini yayınladı.
Sırada Ne Var?
Bu, sınır yapay zekası için yeni normal mi?
Muhtemelen evet. Yapay zeka modelleri daha yetenekli hale geldikçe, aşırı çift kullanım yeteneklerine sahip modellere erişimi kısıtlama uygulaması muhtemelen standart hale gelecektir. Project Glasswing bunun nasıl çalışabileceğine dair bir şablondur: sistem kartını şeffaf bir şekilde yayınla, modelin kendisini kısıtla, yetenekleri savunmaya yönlendir.
Diğer yapay zeka şirketleri bunu takip edecek mi?
OpenAI halihazırda kendi siber güvenlik girişimlerini sürdürüyor ve Crypto News'un tanımladığı gibi yapay zeka şirketleri arasında savunma amaçlı siber yetenekler konusunda bir "yarış" yaratıyor.
Güvenlik açıkları ne zaman açıklanacak?
Anthropic, standart koordineli güvenlik açığı bildirme süreçlerini izliyor. Etkilenen satıcılar tarafından yamalar yayınlandıkça, ilgili güvenlik açığı ayrıntıları halka açılacaktır. Binlerce sıfırıncı gün gibi büyük bir hacim göz önüne alındığında, bu süreç aylar veya daha uzun sürecektir.
Sıkça Sorulan Sorular
"Glasswing" ne anlama geliyor?
İsim, kanatları neredeyse şeffaf olan cam kanatlı kelebekten (Greta oto) gelmektedir. Metafor şeffaflıktır — hem Anthropic'in tam sistem kartını yayınlama yaklaşımında hem de yazılım altyapısını daha görünür ve güvenli hale getirme hedefinde.
Claude Mythos Preview'u kullanabilir miyim?
Project Glasswing konsorsiyumundaki 40'tan fazla ortak kuruluştan birinde çalışmıyorsanız hayır. Anthropic'in Mythos Preview'u genel kullanıma sunma yönünde duyurulmuş bir planı yoktur.
Project Glasswing, Claude Opus 4.6 veya Claude Sonnet ile ilgili mi?
Hayır. Mythos Preview ayrı ve daha yetenekli bir modeldir. Claude Opus 4.6 ve Sonnet 4.6, Anthropic API ve tüketici ürünleri aracılığıyla kullanılabilir olmaya devam ediyor. Project Glasswing, üstün siber güvenlik yetenekleri nedeniyle özellikle Mythos Preview'u kullanıyor.
Mythos Preview, siber güvenlik görevlerinde diğer modellerle nasıl karşılaştırılır?
Halka açık başka hiçbir model, bu ölçekte otonom olarak sıfırıncı gün açıklarını keşfetme ve istismar etme yeteneği göstermemiştir. Sistem kartı, Anthropic'in ifadesiyle önceki tüm modellerin ötesinde "çarpıcı bir sıçrama"yı temsil eden yetenekleri tanımlamaktadır.
Bu, yapay zekanın insan güvenlik araştırmacılarının yerini alacağı anlamına mı geliyor?
Hayır. Model, güvenlik açığı raporları ve konsept kanıtı exploitleri üretir, ancak bulguları doğrulamak, yamalar geliştirmek, düzeltmeleri test etmek ve açıklamayı koordine etmek için hala insan güvenlik mühendislerine ihtiyaç vardır. Bunu, bir güvenlik ekibinin kapsayabileceği alanı dramatik bir şekilde genişleten bir kuvvet çarpanı olarak düşünün.
Modelin çalınması veya sızdırılması riski ne olacak?
Bu, Anthropic'in sistem kartında ele aldığı meşru bir endişedir. Ortak kuruluşların model ağırlıklarını indirmek yerine kontrollü altyapı üzerinden Mythos Preview'a eriştiği kısıtlı dağıtım modeli, bu riski en aza indirmek için tasarlanmıştır.
Özet
Project Glasswing, sınır yapay zeka yeteneklerinin nasıl konuşlandırıldığı konusunda bir dönüm noktasını temsil ediyor. Varsayılan yaklaşım olan "geniş çapta yayınla ve sonuçlarla sonra ilgilen" yerine Anthropic, belirli bir savunma görevi için hedeflenmiş dağıtımı seçti.
İster bunu sorumlu yapay zeka yönetişimi olarak, ister özel bir şirketin güçlü teknolojiyi kapalı tuttuğu tehlikeli bir emsal olarak görün, sonuçlara itiraz etmek zor: Dünyanın en önemli yazılımlarında binlerce kritik güvenlik açığı, saldırganlar bulmadan önce keşfedildi ve yama hattına girdi.
Siber güvenlik üzerindeki etkiler anidir. Yönetişim etkilerinin tam olarak ortaya çıkması ise yıllar alacaktır.
Y Build olarak, yapay zeka yeteneklerinin sınırlarını ve bunların yazılım geliştirme ile güvenliği nasıl yeniden şekillendirdiğini takip ediyoruz. Project Glasswing siber güvenliğe odaklansa da, alttaki eğilim — yapay zeka modellerinin kısıtlı dağıtım gerektirecek kadar yetenekli hale gelmesi — önümüzdeki yıllarda her geliştiricinin yapay zeka ile çalışma şeklini şekillendirecektir.
Kaynaklar:
- Project Glasswing: Securing critical software for the AI era — Anthropic
- Claude Mythos Preview System Card — red.anthropic.com
- Anthropic debuts preview of powerful new AI model Mythos — TechCrunch
- Anthropic says its most powerful AI cyber model is too dangerous to release — VentureBeat
- Simon Willison on Project Glasswing
- Powell, Bessent discussed Anthropic's Mythos AI cyber threat with major U.S. banks — CNBC
- AISI evaluation of Claude Mythos Preview's cyber capabilities
- Anthropic caused panic that Mythos will expose cybersecurity weak spots — Fortune
- Introducing Project Glasswing — Linux Foundation
- The Vulnpocalypse: Why experts fear AI could tip the scales toward hackers — NBC News