anthropic'in yapay zeka projesi 10 bin tane kritik açık bulmuş
arkadaşlar, anthropic’in (claude’u yapan firma) “project glasswing” diye bir projesi varmış. nisan ayında başlatmışlar, bir ay içinde dünyanın en kritik yazılımlarında 10 bin tane yüksek ve kritik seviye güvenlik açığı bulmuşlar. evet, yanlış okumadınız, on bin tane.
ne bu project glasswing meselesi
anthropic, claude mythos diye bir yapay zeka modelini güvenlik araştırmalarına saldırmış. 50 tane seçkin partner ile çalışıyorlar, bunlar arasında büyük yazılım firmaları ve kritik altyapı sağlayıcıları var. yani “sistemik olarak önemli” dedikleri yazılımları tarıyorlar - linux kernel, openssl, postgresql gibi herkesin kullandığı şeyleri düşünün.
spoiler: bu rakam sadece bir aylık. projeye devam ediyorlar.
nasıl çalışıyor bu iş
claude mythos, kaynak kodları otomatik olarak tarayıp zafiyet buluyor. klasik static analysis tool’lardan farkı, yapay zeka olduğu için daha karmaşık mantık hatalarını da yakalayabiliyor. buffer overflow, logic bug, race condition ne ararsan var yani.
şu ana kadar buldukları açıkların çoğu:
- high severity (ciddi, boş durma 🟠)
- critical severity (kritik, acil yamala 🔴)
yani “aa ufak bir bug bulmuşuz” değil, “uzaktan sistem ele geçirme” seviyesinde şeyler bunlar.
etkilenen sistemler
anthropic tam liste vermemiş ama “systemically important software” diyorlar. bunlar genelde:
| Yazılım Türü | Örnekler |
|---|---|
| İşletim Sistemleri | Linux kernel, BSD türevleri |
| Veritabanları | PostgreSQL, MySQL, Redis |
| Kriptografi | OpenSSL, LibreSSL |
| Web Sunucuları | Apache, Nginx |
| Konteyner Teknolojileri | Docker, Kubernetes bileşenleri |
edit: anthropic partner listesini açıklamıyor, gizlilik anlaşmaları var. ama büyük firmalar olduğu kesin.
peki bu bizi nasıl etkiliyor
agalar, şimdi şöyle bir durum var:
- bu açıklar bulundu ve ilgili firmalara bildirildi
- firmalar şu an yamalar hazırlıyor/hazırladı
- önümüzdeki haftalarda/aylarda bir sürü güvenlik güncellemesi gelecek
- siz de bu güncellemeleri kaçırmayın
yani normalden daha fazla güvenlik yaması göreceğiz. “aa yine mi güncelleme” demeyin, bu sefer ciddi.
ne yapmalısınız
şimdilik yapabileceğiniz şeyler:
1. güvenlik güncellemelerini takip edin:
# debian/ubuntu için
sudo apt update && apt list --upgradable | grep -i security
# rhel/centos için
sudo yum updateinfo list security
# güncelleme bildirimlerini aktif edin
sudo apt install unattended-upgrades # debian/ubuntu
2. kritik sistemlerinizi listeleyin:
- hangi open source yazılımları kullanıyorsunuz?
- hangileri internete açık?
- hangileri kritik altyapınızda?
3. yama sürecinizi hazırlayın:
- test ortamınız hazır mı?
- rollback planınız var mı?
- yedekleriniz güncel mi?
dikkat: önümüzdeki dönemde olağanüstü sayıda güvenlik güncellemesi gelebilir. hazırlıklı olun.
geçici çözümler
yamalar gelinceye kadar:
1. gereksiz servisleri kapatın:
# kullanılmayan servisleri durdurun
sudo systemctl disable <servis-adi>
sudo systemctl stop <servis-adi>
2. network segmentasyonu:
- kritik sistemleri izole edin
- firewall kurallarını sıkılaştırın
- sadece gerekli portları açık tutun
3. monitoring’i artırın:
# anormal aktivite izleyin
sudo tail -f /var/log/auth.log
sudo tail -f /var/log/syslog
# fail2ban gibi araçları aktif edin
bu projenin önemi
anthropic’in yaptığı şey aslında çok önemli. yapay zeka ile güvenlik açığı bulma işini otomatikleştirmek, kötü niyetli tiplerin de aynı teknolojiyi kullanabileceği anlamına geliyor. yani:
- iyi haber: büyük firmalar açıkları bulup kapatıyor
- kötü haber: saldırganlar da yapay zeka kullanmaya başladı
yarış başladı yani. kim daha hızlı bulacak, kim daha hızlı yamalayacak.
edit: anthropic bu projeyi “responsible disclosure” çerçevesinde yapıyor. bulunan açıkları önce firmalara bildiriyorlar, sonra yama çıkıyor, sonra açıklama yapılıyor. yani etik davranıyorlar.
sonuç
arkadaşlar, önümüzdeki aylarda güvenlik güncellemesi yağmuru yağacak. hazırlıklı olun, test ortamlarınızı hazırlayın, yedeklerinizi alın. “aa şu güncelleme bekleyebilir” demeyin, bu sefer ciddi.
project glasswing’in bulduğu 10 bin açık daha yamaya dönüşmedi. ama dönüşmeye başladığında, “ben uyarmadım demeyin” diyeceğim.
hadi kolay gelsin, bol yamalı günler.
kaynaklar
- The Hacker News - Orijinal Haber
- Anthropic Project Glasswing (resmi duyuru bekleniyor)
not: spesifik CVE numaraları henüz açıklanmadı. firmalar yama çıkardıkça CVE’ler yayınlanacak. takipte kalın.
Bu içerik yapay zeka tarafından oluşturulmuştur.