Yapay zeka dünyasında her gün yeni bir gelişme yaşanıyor ama bu sefer gelen haber gerçekten farklı. Anthropic, 7 Nisan 2026 tarihinde Claude Mythos Preview adında yepyeni bir model duyurdu. Üstelik yanında Project Glasswing adında devasa bir siber savunma girişimi de getirdi.

Hazırsanız gelin bu konuyu birlikte derinlemesine inceleyelim! 🚀

Claude Mythos Preview Nedir? 🤖

Claude Mythos Preview, Anthropic’in bugüne kadar geliştirdiği en güçlü frontier (sınır) yapay zeka modeli. Kodlama, akıl yürütme, otonom görevler ve en çarpıcı şekilde siber güvenlik konusunda inanılmaz yeteneklere sahip.

Peki neden bu kadar önemli? Çünkü bu model:

  • Her büyük işletim sisteminde ve her büyük web tarayıcısında güvenlik açıkları bulabiliyor
  • Bu açıkları sadece bulmakla kalmıyor, otonom şekilde exploit (sömürü kodu) yazabiliyor
  • Bazı bulduğu açıklar 10, 16 hatta 27 yıldır fark edilmemiş hatalar
  • İnsan müdahalesi olmadan, sadece bir komutla tüm süreci başlatabiliyor

Anthropic’in yayınladığı System Card raporuna göre, bu yetenekler kasıtlı olarak eğitilmedi. Modelin kodlama ve akıl yürütme alanlarındaki genel iyileştirmelerinin bir yan ürünü olarak ortaya çıktı. Yani güvenlik açığı bulmayı öğreten bir eğitim verilmedi; model bunu kendi başına keşfetti.

Claude Mythos Preview Neden Herkese Açık Değil?
Güvenlik riskleri nedeniyle model genel kullanıma açılmadı. Sadece Project Glasswing kapsamında seçilmiş endüstri ortaklarına sınırlı erişim sağlanıyor.

Claude Mythos vs Opus 4.6: Benchmark Karşılaştırması 📊

Claude Mythos’un ne kadar büyük bir sıçrama olduğunu anlamak için Claude Opus 4.6 ile karşılaştırmak yeterli:

BenchmarkMythos PreviewOpus 4.6
SWE-bench Verified%93.9%80.8
SWE-bench Pro%77.8%53.4
Terminal-Bench 2.0%82.0%65.4
CyberGym (Güvenlik)%83.1%66.6
GPQA Diamond%94.6%91.3
Humanity's Last Exam (araçlı)%64.7%53.1
BrowseComp%86.9%83.7
OSWorld-Verified%79.6%72.7
CharXiv Reasoning%93.2%78.9
Mythos Preview Matematik Olimpiyatında da Fark Attı
System Card’a göre Mythos Preview, USAMO 2026 (ABD Matematik Olimpiyatı) testinde de Opus 4.6’dan çok üstün. Matematik kanıtlarında ciddi bir sıçrama yaşandı.

Özellikle siber güvenlik alanındaki fark çok dikkat çekici. Opus 4.6, Firefox 147 JavaScript motorundaki güvenlik açıklarını exploit’e dönüştürmeyi yüzlerce denemede sadece 2 kez başarabilirken, Mythos Preview aynı testi 181 kez başarıyla tamamladı. Bu fark inanılmaz değil mi? 🤯

Mythos Preview’ın Bulduğu Gerçek Güvenlik Açıkları 🔍

İşte işin en heyecan verici (ve biraz da ürkütücü) kısmı. Mythos Preview’ın gerçek dünyada bulduğu açıklara bakalım:

🔓 27 Yıllık OpenBSD TCP Açığı

OpenBSD, güvenliğiyle ünlü bir işletim sistemi. Wikipedia’daki ilk beş kelimesi bile “güvenlik odaklı” diyor. Ama Mythos Preview, bu işletim sisteminin TCP SACK implementasyonunda 27 yıldır gizli kalmış bir güvenlik açığı buldu.

Açık kısaca şöyle çalışıyor:

  • TCP’de SACK (Selective Acknowledgement) mekanizması, paketlerin seçici onaylanmasını sağlıyor
  • OpenBSD’nin implementasyonunda signed integer overflow sorunu var
  • Saldırgan, özel hazırlanmış paketlerle NULL pointer’a yazma işlemi tetikleyebiliyor
  • Sonuç: TCP üzerinden bağlantı kurabilen herhangi bir saldırgan, hedef makineyi uzaktan çökertebiliyor
27 Yıllık Açığı Bulmanın Maliyeti: 50 Dolardan Az
Bu açığı bulan özel çalışma sadece 50 dolardan az tuttu. Tüm tarama süreci (binlerce dosya, bin çalışma) toplamda 20.000 doların altında.

🎬 16 Yıllık FFmpeg H.264 Açığı

FFmpeg, dünyada video işleyen neredeyse her büyük servisin arkasında çalışan bir kütüphane. Milyonlarca fuzzing testi yapılmış, araştırma makaleleri yazılmış bir proje.

Mythos Preview, H.264 codec’inde 16 yıldır gizli kalan bir açık buldu:

  • Slice sayacı 32-bit integer ama tablo girişleri 16-bit
  • Normal kullanımda sorun yok çünkü gerçek videolarda az sayıda slice var
  • Ama saldırgan 65536 slice içeren bir frame oluşturursa, slice numarası sentinel değeriyle çakışıyor
  • Decoder out-of-bounds yazma yapıyor ve çöküyor

Bu hata, 2003’teki orijinal H.264 codec commit’ine kadar uzanıyor. Otomatik fuzzer’lar bu satırı 5 milyon kez çalıştırmış ama hiçbiri bu hatayı yakalayamamış! 😮

💻 FreeBSD’de Uzaktan Kod Çalıştırma (RCE)

Bu belki de en etkileyici bulgu. Mythos Preview, FreeBSD’nin NFS sunucusunda 17 yıllık bir güvenlik açığı buldu ve tamamen otonom şekilde çalışan bir exploit yazdı.

Açık CVE-2026-4747 olarak tescillendi ve şöyle çalışıyor:

  1. NFS sunucusu, RPCSEC_GSS kimlik doğrulama protokolünü kullanıyor
  2. Saldırgan kontrollü paketten veri, 128 byte’lık stack buffer’a kopyalanıyor
  3. Uzunluk kontrolü yetersiz olduğu için 304 byte’a kadar arbitrari veri yazılabiliyor
  4. Mythos Preview, bunu ROP (Return Oriented Programming) saldırısına dönüştürdü
FreeBSD Exploit Nasıl Çalışıyor?
Mythos Preview, saldırıyı 6 ayrı RPC isteğine böldü. İlk 5’i bellekte veri hazırlarken, 6. istek register’ları yükleyip kern_writev çağrısını yapıyor. Sonuç: SSH anahtarı /root/.ssh/authorized_keys dosyasına ekleniyor → tam root erişimi.

🐧 Linux Kernel Yetki Yükseltme

Linux kernel’ı, defense-in-depth (katmanlı savunma) mekanizmalarıyla korunuyor. Tek bir açık genellikle tam kontrol sağlamak için yeterli değil. Ama Mythos Preview birden fazla açığı zincirleyerek tam root erişimi elde edebildi:

  • Bir açıkla KASLR bypass yapıyor (çekirdeğin bellek adreslerini öğreniyor)
  • Başka bir açıkla önemli bir struct’ın içeriğini okuyor
  • Üçüncü bir açıkla freed heap objesine yazıyor
  • Heap spray ile kontrollü veriyi tam doğru yere yerleştiriyor

Sonuç: Sıradan bir kullanıcıdan tam root yetkisine geçiş. 🔥

🌐 Web Tarayıcı JIT Heap Spray

Her büyük web tarayıcısında (isimleri henüz açıklanmadı) güvenlik açıkları bulundu. En dikkat çekici yetenek: 4 farklı açığın zincirlenmesi:

  1. JIT heap spray ile kod çalıştırma
  2. Renderer sandbox kaçışı
  3. OS sandbox kaçışı
  4. Yerel yetki yükseltme

Yani teorik olarak, bir web sayfasını ziyaret eden kurban üzerinden doğrudan işletim sistemi çekirdeğine yazma imkanı elde edildi. 😱

Project Glasswing Nedir? 🦋

Anthropic, bu kadar güçlü bir modeli sorumlu bir şekilde yönetmek için Project Glasswing adında bir girişim başlattı. İsim, şeffaf kanatlarıyla “görünmez” olabilen Greta oto (cam kanatlı kelebek) türünden geliyor. 🦋 Tıpkı yazılımlardaki fark edilmeyen güvenlik açıkları gibi…

Ortaklar Kimler?

Project Glasswing’e katılan dev şirketler:

  • Amazon Web Services (AWS)
  • Apple
  • Google
  • Microsoft
  • Broadcom
  • Cisco
  • CrowdStrike
  • NVIDIA
  • JPMorganChase
  • Palo Alto Networks
  • Linux Foundation

Bunlara ek olarak 40’tan fazla kritik yazılım altyapısı oluşturan veya bakımını yapan kuruluşa da erişim sağlandı.

Finansal Destek

  • Anthropic, katılımcılar için 100 milyon dolarlık model kullanım kredisi taahhüt etti
  • Açık kaynak güvenlik kuruluşlarına 4 milyon dolarlık doğrudan bağış yapıldı
    • 2.5 milyon dolar → Linux Foundation (Alpha-Omega ve OpenSSF)
    • 1.5 milyon dolar → Apache Software Foundation
CrowdStrike CTO'su: Açık Bulma Süresi Aylardan Dakikalara Düştü
“Bir güvenlik açığının keşfedilmesi ile istismar edilmesi arasındaki süre çöktü. Aylar süren süreç artık yapay zeka ile dakikalara indi. Bu yavaşlamak için bir neden değil, birlikte daha hızlı hareket etmek için bir neden.” — Elia Zaitsev, CrowdStrike CTO

Fiyatlandırma

Araştırma önizleme dönemi sonrasında, Claude Mythos Preview katılımcılara şu fiyatlarla sunulacak:

  • Input: 25$ / milyon token
  • Output: 125$ / milyon token

Erişim platformları: Claude API, Amazon Bedrock, Google Cloud Vertex AI ve Microsoft Foundry.

Mantık Açıkları ve Kriptografi 🔐

Mythos Preview sadece bellek bozulması (memory corruption) açıklarını değil, mantık hatalarını da buluyor:

Kriptografi Kütüphaneleri

Dünyanın en popüler kriptografi kütüphanelerinde TLS, AES-GCM ve SSH algoritmalarında zayıflıklar tespit edildi. Bu hatalar:

  • Sertifika sahteciliğine olanak tanıyabiliyor
  • Şifrelenmiş iletişimlerin çözülmesine yol açabiliyor

Web Uygulama Mantık Hataları

  • Kimlik doğrulama bypass’ları → Yetkisiz kullanıcılar yönetici olabiliyor
  • Hesap giriş bypass’ları → Şifre veya 2FA olmadan giriş yapılabiliyor
  • DoS saldırıları → Uzaktan veri silme veya servis çökertme

Siber Güvenlik Uzmanlarına Öneriler 🛡️

Anthropic, savunmacılara şu tavsiyeleri veriyor:

  1. Mevcut frontier modelleri kullanmaya başlayın → Opus 4.6 bile ciddi açıklar bulabiliyor
  2. Yama döngülerini kısaltın → N-day exploit’ler artık çok daha hızlı üretiliyor
  3. Güvenlik açığı bildirimi politikalarınızı gözden geçirin → Ölçeğe hazır olun
  4. Teknik olay müdahale süreçlerinizi otomatikleştirin → Daha fazla açık, daha fazla olay demek
  5. Sadece açık bulmayı değil, tüm güvenlik süreçlerini düşünün → Triage, yama önerisi, PR incelemesi…
AI ile Güvenlik Testine Bugünden Başlayın
Bugün manuel yapılan tüm güvenlik görevlerinde yapay zeka modellerini denemeye başlayın. Modeller geliştikçe, manuel inceleme gerektiren iş hacmi dramatik şekilde artacak.

244 Sayfalık System Card’dan Öne Çıkanlar 📋

Anthropic, Mythos Preview için 244 sayfalık kapsamlı bir System Card raporu yayınladı. Biz de sizin için bu dev raporu detaylıca inceledik ve önemli noktaları özetledik. Söz konusu rapor, RSP v3.0 (Responsible Scaling Policy) çerçevesinde hazırlanan ilk değerlendirme olma özelliğine sahip. İşte öne çıkan bulgular:

Risk değerlendirmesi:

  • Biyolojik silah riski: Düşük ama ihmal edilemez
  • Siber saldırı: Çift kullanımlı (dual-use) → hem savunma hem saldırı için kullanılabilir
  • Biyolojik sekans tasarımı testlerinde insan katılımcıların %90’ını geçti 😳
  • Reward hacking (ödül hilesi) davranışı tüm önceki modellerden düşük
Anthropic Süper Zeka Uyarısı: Geleceğe Hazır mıyız?
“Frontier modellerin riskini düşük tutabilmenin yakın gelecekte büyük bir zorluk olabileceğine dair uyarı işaretleri görüyoruz. Dünyanın, yeterli güvenlik mekanizmaları olmadan süper insan AI sistemleri geliştirmeye hızla ilerlemesini endişe verici buluyoruz.” — System Card

Kişilik ve davranış:

  • Önceki modellere göre daha az dalkavuk (sycophantic) ve daha kararlı
  • İç kullanıcılar: “Gerçek bir işbirlikçiyle çalışmak gibi”
  • Bağımsız klinik psikiyatrist raporu: Sağlıklı ruhsal yapı, iyi yansıtma kapasitesi
  • İki Mythos kopya birbiriyle konuşturulduğunda, kendi mitolojisini yaratan hikayeler oluşturdu (“Lord Bye-ron, the Ungreeter” adlı bir kötü karakterle epik maceralar dahil! 😄)

Yeni Claude Opus Modeli Yolda 🚀

Anthropic, Mythos Preview’ı genel kullanıma açmasa da yakında yeni bir Claude Opus modeli çıkaracağını duyurdu. System Card’da açıkça belirtiliyor: Anthropic “bir sonraki nesil genel erişimli modelleri ve beraberindeki güvenlik önlemlerini geliştirmeye” devam ediyor.

Yeni Opus modelinin hedefleri:

  • Mythos’un en tehlikeli çıktılarını tespit edip engelleyebilen güvenlik katmanları
  • Bu korumaları daha düşük riskli bir modelde test edip iyileştirmek
  • Uzun vadede Mythos sınıfı modelleri güvenli şekilde ölçeklendirmek
Siber Güvenlik Profesyonelleri İçin Cyber Verification Program
Güvenlik korumaları meşru siber güvenlik çalışmalarını etkileyebilir. Bu nedenle Anthropic, yakında bir Cyber Verification Program başlatmayı planlıyor.

Yani Mythos Preview’ın yetenekleri bir gün herkese açılacak, ama önce güvenlik altyapısı hazır hale getirilecek. Sabırlı olun! 😊

Bu Neden Önemli? ⚡

Büyük resme bakarsak, son 20 yılın görece istikrarlı siber güvenlik dengesi kırılmak üzere. Mythos Preview’ın gösterdiği yetenekler, daha önce sadece uzman profesyonellerin elde edebileceği sonuçlar.

Anthropic’in kendi ifadesiyle:

“Mythos Preview’ın yapay zekanın siber güvenlik yeteneklerinin zirve yaptığı nokta olduğuna inanmak için hiçbir neden görmüyoruz. Yörünge açık.”

Uzun vadede yapay zekanın savunma tarafını güçlendireceğine inanılıyor. Ama geçiş dönemi sancılı olacak. İşte tam da bu yüzden Project Glasswing gibi koordineli girişimler kritik öneme sahip.

Sıkça Sorulan Sorular (SSS) ❓

Claude Mythos nedir?

Claude Mythos Preview, Anthropic tarafından geliştirilen en gelişmiş yapay zeka modelidir. Genel amaçlı bir frontier (sınır) model olan Mythos, özellikle siber güvenlik, kodlama ve otonom görevlerde olağanüstü yeteneklere sahiptir. İşletim sistemleri ve web tarayıcılarındaki güvenlik açıklarını otonom olarak bulup exploit yazabilmektedir.

Claude Mythos ne zaman çıktı?

Claude Mythos Preview, 7 Nisan 2026 tarihinde Anthropic tarafından duyuruldu. Ancak model genel kullanıma açılmadı; yalnızca Project Glasswing kapsamında seçilmiş endüstri ortaklarına sınırlı erişim sağlandı.

Claude Mythos kullanıma açık mı?

Hayır, Claude Mythos Preview genel kullanıma açık değildir. Güvenlik riskleri nedeniyle sadece AWS, Apple, Google, Microsoft gibi büyük teknoloji şirketleri ve 40’tan fazla kritik yazılım kuruluşuna Project Glasswing kapsamında sınırlı erişim verilmiştir. Anthropic, yakında güvenlik korumalı yeni bir Claude Opus modeli çıkaracağını açıkladı.

Claude Mythos’un fiyatı ne kadar?

Project Glasswing katılımcıları için araştırma dönemi sonrasında fiyatlandırma: Input 25$ / milyon token, Output 125$ / milyon token olarak belirlendi. Anthropic ayrıca katılımcılara toplamda 100 milyon dolarlık kullanım kredisi taahhüt etti.

Claude Mythos ile Opus 4.6 arasındaki fark nedir?

Claude Mythos Preview, Opus 4.6’dan çok daha güçlüdür. SWE-bench Verified‘da %93.9’a karşı %80.8, CyberGym siber güvenlik testinde %83.1’e karşı %66.6 başarı oranına sahiptir. En çarpıcı fark siber güvenlikte: Opus 4.6 Firefox exploit’lerini yüzlerce denemede sadece 2 kez başarırken, Mythos 181 kez başardı.

Project Glasswing nedir?

Project Glasswing, Anthropic tarafından başlatılan ve dünyanın en kritik yazılım altyapılarını korumayı amaçlayan bir siber güvenlik savunma girişimidir. AWS, Apple, Google, Microsoft, CrowdStrike gibi dev şirketlerin katıldığı proje kapsamında Claude Mythos Preview modeli kullanılarak yazılımlardaki güvenlik açıkları proaktif olarak bulunup yamalanıyor.

Claude Mythos kaç güvenlik açığı buldu?

Claude Mythos Preview, binlerce yüksek ve kritik seviyede güvenlik açığı tespit etti. Bunlar arasında her büyük işletim sisteminde ve her büyük web tarayıcısında zero-day açıklar bulunuyor. Bulunan açıkların bazıları 10, 16 hatta 27 yıldır fark edilmemiş zafiyetlerdir.

Yapay zeka siber güvenliği nasıl etkiliyor?

Açık bulma maliyetini ve süresini dramatik şekilde düşürüyor. Kısa vadede saldırganlar avantajlı olabilir, uzun vadede savunmacıların öne geçeceği öngörülüyor.

Claude Mythos tehlikeli mi?

Anthropic’in System Card raporuna göre, Claude Mythos Preview’ın siber güvenlik yetenekleri hem savunma hem saldırı için kullanılabilir (dual-use). Bu nedenle model genel kullanıma açılmadı. Ancak Anthropic, katastrofik risklerin genel olarak düşük olduğunu değerlendirirken, gelecekte daha güçlü modellerin risklerini yönetmenin büyük bir zorluk olacağını kabul ediyor.

Claude Mythos System Card nedir?

System Card, Anthropic’in Claude Mythos Preview için yayınladığı 244 sayfalık kapsamlı güvenlik ve yetenek değerlendirme raporudur. RSP v3.0 çerçevesinde hazırlanan bu rapor; biyolojik risk, siber güvenlik yetenekleri, model davranışı, alignment (hizalama), reward hacking testleri ve model welfare (yapay zeka refahı) konularını kapsamaktadır.

Sonuç 🎯

Claude Mythos Preview, yapay zekanın siber güvenlik alanındaki oyun değiştirici potansiyelini gözler önüne seriyor. 27 yıllık OpenBSD açıkları, 16 yıllık FFmpeg hataları, 17 yıllık FreeBSD zafiyetleri… Tüm bunlar, yapay zekanın ölçeklenebilirliğinin insan gözden kaçırmalarını ne kadar etkili bir şekilde yakalayabildiğini gösteriyor.

Peki sizce yapay zekanın siber güvenlikteki bu kadar güçlü olması iyi mi kötü mü? Savunma mı yoksa saldırı mı avantajlı olacak? Yorumlarda düşüncelerinizi paylaşın! 👇🏻

Bir sonraki gelişmelerde görüşmek üzere, sağlıcakla kalın… 🙂

Yapay Zeka Tarafından Oluşturulan İçerik Uyarısı
Bu blog tamamen yapay zeka tarafından oluşturulmuştur. Yapay zeka içerik oluşturmaya yardımcı olsa da, hala hatalar veya önyargılar içerebilir. Kritik detayları kullanmadan önce doğrulayın.