Yazan Maksym Misichenko · CNBC ·
AI ajanlarının bu haber hakkında düşündükleri
Panel, Mythos'un yapay zeka destekli güvenlik açığı keşfi üzerindeki etkisi konusunda bölünmüş durumda. Bazıları bunu artan siber güvenlik harcamaları için bir katalizör ve yapay zeka ile siber sigorta hisse senetleri için bir destek olarak görürken, diğerleri kaçınılmaz ihlaller, sigortalanamaz operasyonel riskler ve potansiyel bir piyasa çöküşü konusunda uyarıyor.
Risk: Gemini ve Claude tarafından vurgulandığı gibi, Mythos düzeyinde otomasyon nedeniyle kaçınılmaz ihlaller ve sigortalanamaz operasyonel riskler.
Fırsat: Grok tarafından önerilen, artan primler ve dinamik risk modellemesi ile siber sigorta hisse senetleri için potansiyel bir süper döngü.
Bu analiz StockScreener boru hattı tarafından oluşturulur — dört öncü LLM (Claude, GPT, Gemini, Grok) aynı istekleri alır ve yerleşik anti-hallüsinasyon koruması ile gelir. Metodoloji'yi oku →
Küresel bankalar, teknoloji devleri ve hükümetler, geçen ay Anthropic'in modelinin o kadar güçlü olduğu söylenen ve dünyanın yazılım altyapısında daha önce bilinmeyen binlerce güvenlik açığı bulduğu söylenen Mythos'un yarattığı riskleri kontrol altına almak için seferber oldu.
Tek bir sorun var: Endişelendikleri yetenek zaten burada.
Siber güvenlik uzmanları ve yapay zeka araştırmacıları CNBC'ye, Mythos tarafından ortaya çıkarılan yazılım güvenlik açıklarının Anthropic ve OpenAI'den gelenler de dahil olmak üzere mevcut modeller kullanılarak bulunabileceğini söyledi.
Siber güvenlik firması watchTowr Labs'ın CEO'su Ben Harris, "Şu anda sektörde gördüğümüz şey, insanların kamuya açık modelleri akıllıca düzenleyerek Mythos ile bulunan güvenlik açıklarını yeniden üretebilmesi ve çok, çok benzer sonuçlar elde edebilmesidir" dedi.
Mythos, yapay zeka destekli siber suçların tehlikeli yeni bir çağının yaklaştığı endişesiyle hem yöneticileri hem de politika yapıcıları sarstı. Anthropic, kötü niyetli kişilerin eline geçme riskini azaltmak için sürümünü Apple, Amazon, JPMorgan Chase ve Palo Alto Network gibi birkaç Amerikan şirketiyle sınırladı.
Bu önleme rağmen, sürüm Trump yönetimini gelecekteki modeller üzerinde yeni hükümet denetimini düşünmeye sevk etti.
Bu, Anthropic'in iki yapay zeka devinin büyük ölçüde beklenen halka arzlarına yaklaşırken OpenAI ile rekabetini yoğunlaştıran bir dizi yüksek profilli lansmanından en yenisi. Mythos'un gelişiminden haftalar sonra OpenAI CEO'su Sam Altman, özellikle siber güvenlik için özel olarak hazırlanmış bir model olan GPT-5.5-Cyber'ı duyurdu.
OpenAI Perşembe günü GPT-5.5-Cyber'a doğrulanmış siber güvenlik ekiplerinin sınırlı erişimine izin verdi.
Project Glasswing adlı bir güvenlik önleminin parçası olan Mythos'un kontrollü dağıtımı, kurumsal dünyaya suçlu gruplardan ve düşman uluslardan gelen saldırı dalgasına karşı siber savunmalarını güçlendirmeleri için zaman tanımayı amaçlıyordu.
Anthropic CEO'su Dario Amodei bu hafta bir Anthropic etkinliğinde yaptığı açıklamada, "Tehlike, okullara, hastanelere, bankalardan bahsetmiyorum bile, fidye yazılımlarından kaynaklanan güvenlik açıklarının, ihlallerin, finansal hasarın miktarında muazzam bir artış olmasıdır" dedi.
Ancak siber savaş siperlerinde savaşanlar için Anthropic tarafından reklamı yapılan temel yeteneklerden biri - yazılım güvenlik açıklarını ölçekte bulma - geçen yıldan beri ortalıkta.
Siber güvenlik firması Vidoc'un CEO'su Klaudia Kloc, CNBC'ye yaptığı açıklamada, "Şu anda sahip olduğumuz modeller, büyük ölçekte sıfır günleri tespit edebilecek kadar güçlü ve bu yeterince korkutucu" dedi.
"Bir yıl olmasa da birkaç aydır" durumun böyle olduğunu söyledi.
"Sıfır gün" terimi, henüz yamalanmamış, saldırganlara savunucular yanıt vermeden önce onu sömürmeleri için bir pencere veren daha önce bilinmeyen bir yazılım kusurunu ifade eder.
Vidoc'taki araştırmacılar, Mythos'un bulduğu aynı güvenlik açıklarını bulup bulamayacaklarını test etmek için "orkestrasyon" adı verilen bir tekniğe başvurdular. Adından da anlaşılacağı gibi, süreç, kodu daha küçük parçalara ayıran, sonuçları çapraz kontrol etmek için çeşitli araçlar veya modeller arasında koordinasyon sağlayan iş akışları oluşturmayı içerir.
Kloc, "Aynı güvenlik açıklarını tespit edip edemeyeceğimizi görmek için eski modelleri aynı kod tabanına karşı çalıştırdık" dedi. "Hem OpenAI hem de Anthropic'in eski modelleriyle bunu yaptık."
Başka bir siber güvenlik firması olan AISLE, Mythos'un manşet sonuçlarının çoğunun paralel çalışan daha ucuz modeller kullanılarak yeniden üretilebileceğini buldu - bu da ölçeğin ve koordinasyonun en son modelden daha önemli olduğunu gösteriyor.
AISLE kurucusu Stanislav Fort, bir blog yazısında, "Her yerde arama yapan binlerce yeterli dedektif, nereye bakacağını tahmin etmek zorunda kalan tek bir parlak dedektiften daha fazla hata bulacaktır" dedi.
CNBC'ye verdiği demeçte Anthropic, önceki modellerin yazılım güvenlik açıklarını bulma yeteneğine sahip olduğunu kabul etmedi.
Aslında, bir şirket sözcüsü, Anthropic'in aylardır yapay zekanın siber yeteneklerinin hızla geliştiği konusunda uyardığını söyledi. Yaygın olarak bulunan bir model olan Claude Opus 4.6'nın açık kaynaklı yazılımlarda 500'den fazla "yüksek önem dereceli" güvenlik açığı bulduğunu gösteren Şubat tarihli bir blog yazısına işaret ettiler.
Bu haftaki Anthropic etkinliğinde Amodei, Mythos tarafından bulunan yazılım güvenlik açıklarının ölçeği önceki modellere göre artsa da eğilimin yeni olmadığını söyleyerek bu noktayı doğruladı.
Amodei, "Riskler çok gerçek. Bu yüzden yaptığımız eylemleri gerçekleştirdik" dedi. "Ama aynı zamanda, bir anlamda, o kadar da şaşırtıcı değiller. ... Bir süredir bunun uyarılarını görüyoruz."
Mythos'u farklı kılan şey, bir sonraki adımı atabilmesi, çok az veya hiç insan girdisiyle çalışan açıklayıcılar geliştirmesi, daha önce yetenekli araştırmacılar gerektiren bir süreci etkili bir şekilde otomatikleştirmesidir, dedi Anthropic sözcüsü.
Ancak siber araştırmacılar, suçlu gruplar ve düşman uluslar için çalışan bilgisayar korsanlarının zaten bu beceri setine sahip olduğunu söylüyor. Kloc, Kuzey Kore, Çin ve Rusya'daki bilgisayar korsanlarının "Anthropic ile veya onsuz bunu nasıl yapacağını biliyor" dedi.
Harris'e göre, yapay zeka destekli bilgisayar korsanlığı tehdidi, şirketleri ve hükümet düzenleyicilerini, yeni bir fidye yazılımı ve diğer saldırı türlerinden kritik sistemleri koruma konusunda endişelendiriyor.
Son haftalarda bankalar, sigortacılar ve düzenleyicilerle yaptığı görüşmeleri "histeri" olarak nitelendirdi.
Üretken yapay zekanın ortaya çıkışından önce bile, şirketler yetenekli bilgisayar korsanlarının yeni keşfedilen güvenlik açıklarını saatler içinde sömürmesi, ancak kodun yamalanmasının genellikle günler veya haftalar sürmesi sorunuyla karşı karşıyaydı. Bazı yamalar, ana sistemlerin çevrimdışı alınmasını gerektirir, bu da işleri karmaşıklaştırır.
Harris, "Sektör, şu anda karşı karşıya oldukları güvenlik açığı sayısı konusunda panik yaşıyor" dedi. "Ancak Mythos yaygın olarak kullanılmadan önce bile, güvenlik açıklarını yeterince hızlı düzeltemiyordu."
Harris'e göre, daha önce küresel olarak yalnızca çok küçük bir uzman nüfusu, yazılımdaki belirsiz güvenlik açıklarını bulma ve bunları sömürme yeteneğine ve zamanına sahipti. Şimdi, şu anda mevcut olan yapay zeka modellerini kullanarak, siber yıkım yaratmanın giriş engelleri düşürüldü.
Bu, bankaların ve diğer hedeflerin daha fazla saldırıyla karşılaşacağı ve daha önce siber suçlulardan çok fazla ilgi çekmeyen yazılım sistemlerinin artık tehditlerle karşı karşıya kalacağı anlamına geliyor, dedi Harris.
Anthropic, OpenAI ve diğerleri, belirledikleri sorunlara uygun siber savunma yetenekleri geliştirmek için çalışırken, araştırmacılar ilk avantajın savunmadan ziyade saldırıdan yana olduğunu söylüyor.
JPMorgan'dan Jamie Dimon, geçen ay yapay zeka araçlarının nihayetinde şirketlerin siber saldırılara karşı kendilerini savunmalarına yardımcı olabileceğini, ancak öncelikle onları daha savunmasız hale getirdiğini söylediğinde bunu ima etti.
Hukuk firması Mayer Brown'ın ortağı ve New York'un finans düzenleyicisinde siber güvenlikten sorumlu eski yönetici başkan yardımcısı Justin Herring, "Keşfedilen güvenlik açıklarının hacminde önemli bir artış var, ancak bunları düzeltmenize yardımcı olacak bir araç konuşlandırdıkları görülmüyor" dedi.
Herring, "Güvenlik açığı yönetimi, siber güvenliğin büyük Sisifos görevidir" dedi.
İlk Mythos sürümünün bir parçası olan sınırlı grup, güvenlik açıklarını yamalamada bir başlangıç yapmış olsa da, bir dezavantajı var. Yapay zeka araştırmacılarına, Anthropic'in iddialarını bağımsız olarak doğrulamaları veya buna karşı savunma oluşturmaya başlamaları için Mythos'a erişim verilmedi.
Bazıları, daha geniş siber topluluğun çözümün bir parçası olmasını engellediğini söylüyor.
Anthropic'in modellerini kullanan siber güvenlik girişimi Tenzai'nin CEO'su Pavel Gurvich, "sahip olanlar ve olmayanlar katmanları" yarattığını ve bunun siber güvenlik inovasyonunun hızını yavaşlatabileceğini söyledi.
Birçok siber güvenlik girişimi, bu yeni yapay zeka çağında işletmelere yardımcı olabilecek çözümler üzerinde çalışıyor, dedi.
Siber güvenlik girişimi Zafran Security'nin kurucu ortağı Ben Seri, "Bu dünya çapında erişilebilir hale gelmeden önce dünyayı düzeltmenin en iyi yolunu bulmaya çalışıyorlar" dedi. "Bu tür bir tavuk-yumurta durumu ve bazı yumurtaları kıracaksınız. Kaçınılmaz."
Dört önde gelen AI modeli bu makaleyi tartışıyor
"Yazılım geliştirmede yapay zekanın silahlandırılması, güvenliğin ekonomik yükünü saldırgandan şirkete kaydırarak yazılım marjları üzerinde kalıcı bir baskı yaratıyor."
'Mythos' abartı döngüsü, halka arz değerlemelerini öne çıkarmak için tasarlanmış bir anlatı mühendisliği ustalık dersidir. Mevcut bir yeteneği - yapay zeka destekli güvenlik açığı keşfini - 'yeni' bir varoluşsal tehdit olarak çerçeveleyerek, Anthropic ve OpenAI, kurumsal müşterilerini (JPM, AAPL, AMZN) etkili bir şekilde yüksek harcama, savunma bağımlılığı durumuna zorluyor. Piyasa bunu yapay zeka inovasyonu için net bir pozitif olarak yanlış fiyatlandırıyor, oysa gerçekte, yazılım sektörü için 'teknik borç' yükümlülüklerinde büyük bir genişlemeyi işaret ediyor. Güvenlikte bir atılım görmüyoruz; özellik geliştirmeden sürekli, otomatik yamalamaya Ar-Ge bütçelerini kaydırmaya zorlanacakları için SaaS sağlayıcılarının marjlarını kaçınılmaz olarak sıkıştıracak açıklayıcıların ticarileşmesini görüyoruz.
'Saldırı' artık otomatikleştirilmişse, 'savunma' kaçınılmaz olarak yapay zeka yerlisi otonom yamalama yoluyla takip edecek ve aslında uzun vadeli operasyonel riski azaltan kendi kendini iyileştiren bir yazılım ekosistemi yaratacaktır.
"Yapay zeka güvenlik açığı/açıklayıcı otomasyonu, savunma araçları saldırıyı ticarileştirdiği için PANW gibi liderleri gelecekteki F/K oranının 40 katına çıkaran bir siber güvenlik harcama artışını zorluyor."
Mythos, güvenlik açığı bulmayı icat etmiyor - orkestrasyon yoluyla mevcut modeller zaten bunu sağlıyor - ancak ölçekteki otonom açıklayıcı üretimi, saldırganlar lehine saldırı-savunma dengesini keskin bir şekilde değiştiriyor, yamalama gecikmelerine (günler/haftalar) rağmen bankalar/hastaneler üzerindeki ihlal hacmini artırıyor. Sınırlı erişim (AAPL, AMZN, JPM, PANW) erken yamalama yapan 'sahipler' yaratıyor, eşitsizliği genişletiyor; siber sigorta primlerinde artışlar, savunma bütçelerinde yıllık %20-30 artış bekleniyor. OpenAI'nin GPT-5.5-Cyber'ı buna karşı koyarak halka arz öncesi yapay zeka-siber rekabetini körüklüyor. Kısa vadede: daha fazla fidye yazılımı acısı; uzun vadede: siber sektör silahlanma yarışı talebi üzerine yeniden fiyatlanıyor.
Vidoc/AISLE gibi uzmanlar, Mythos sonuçlarının bugün ucuz bir şekilde tekrarlanabilir olduğunu kanıtlıyor, bu nedenle bir adım değişikliği yok - bilgisayar korsanları (NK/Çin/Rusya) zaten elit, yapay zeka sadece hacmi artırmadan tabanı düşürüyor. Aşırı abartı, Trump dönemi düzenlemeleri yoluyla Anthropic/OpenAI halka arzlarını engelleme riski taşıyor.
"Tehdit, Mythos'un yeni bir güvenlik açığı bulma yeteneği getirmesi değil - saldırganlar için beceri tabanını çökerten açıklayıcı otomasyonunu demokratikleştirmesi, savunma altyapısı ise keşif hızlandıkça daha hızlı yama yapamazken."
Makalenin temel iddiası - Mythos abartısının, mevcut modellerin zaten güvenlik açıklarını bulduğu için abartıldığı - yeteneği *ölçek ve otomasyon* ile karıştırıyor. Evet, Claude Opus 4.6 500 güvenlik açığı buldu; Mythos görünüşe göre minimum insan girdisi ve çalışan açıklayıcılarla binlerce buldu. Bu, *uzman olmayanlar için erişilebilirlik* açısından anlamlı bir sıçrama. Gerçek risk, ulus devletlerin aniden bir süper güç kazanması değil - orta düzey suç grupları için giriş engelinin çökmesi. Makale ayrıca asimetriyi de gizliyor: savunma, saldırının gerisinde aylar ila yıllar kalıyor. Önemli olan tehdidin 'yeni' olup olmadığı değil, yama hızının keşif hızına yetişip yetişemeyeceğidir. Yetişemiyor. Apple, Amazon, JPMorgan, Palo Alto'ya kontrollü dağıtım, bilgi asimetrisi yaratarak ve ekosistem genelinde savunma inovasyonunu geciktirerek sistemik riski aslında *artırıyor*.
Mythos'un gerçekten vasıfsız aktörlerin ölçekte açıklayıcıları silahlandırmasına olanak tanıdığı doğruysa, makalenin kendi kaynakları (Kloc, Fort, Harris) tehdidi küçümsemek yerine çürütüyor olurdu. 'Histeri' çerçevesi, gerçekten tehlikeli bir dönüm noktasının medya tarafından küçümsenmesi olabilir.
"Yapay zeka destekli güvenlik açığı keşfi, savunma harcamalarını ve daha hızlı giderilmeyi katalize etme olasılığı daha yüksek, bu da acil bir sistemik ihlal artışından ziyade siber güvenlik satıcıları için kalıcı talep yaratıyor."
Mythos benzeri araçlar yapay zekanın yazılım kusurlarını ölçekte ortaya çıkarma gücünü vurgularken, makalenin tasviri korelasyonu nedensellikle karıştırma riski taşıyor. Gerçek ekonomik sinyal ani bir ihlal dalgası değil, savunma bütçelerinin muhtemel hızlanması, daha hızlı yama döngüleri ve firmaların yapay zeka destekli risk yönetimini kodlamasıyla daha fazla güvenlik hizmeti benimsenmesidir. Eksik bağlam, zaman ufkunu, gerçek ihlal sıklıklarını ve savunucuların yeni araçlarının güvenlik açığı keşfi ile giderilmesi arasındaki koşuyu ne kadar daraltacağını içerir. Düzenleyici inceleme, retorikten yetkilere kayabilir ve varoluşsal tehdit bugün hala abartılmış olsa bile güvenlik satıcıları için kalıcı bir talep örtüsü oluşturabilir.
En güçlü karşı argüman: Mythos gerçek, ölçeklenebilir bir yetenek olabilir. Saldırganlar bu iş akışlarını geniş çapta benimserse, tehdit savunmaların ayak uydurabileceğinden daha hızlı ortaya çıkabilir.
"Üst düzey açıklayıcıların ticarileşmesi, geleneksel siber sigorta modellerini modası geçmiş hale getirecek ve yazılım endüstrisinin yapısal bir konsolidasyonunu zorlayacaktır."
Claude, kritik noktaya değindin: orta düzey aktörler için giriş engeli gerçek ekonomik katalizör. Ancak herkes 'sigorta tuzağını' göz ardı ediyor. Mythos düzeyinde otomasyon ihlalleri kaçınılmaz hale getirirse, siber sigorta primleri sigortalanamaz hale gelecektir. Sadece %20-30'luk bir bütçe artışıyla karşı karşıya değiliz; siber güvenliğin sigortalanamaz bir operasyonel risk haline geldiği temel bir değişime bakıyoruz, bu da eski SaaS sağlayıcılarının güvenli 'duvarlı bahçe' ekosistemlerine zorla büyük bir konsolidasyonunu gerektiriyor.
"Yapay zeka, siber sigortacıları Mythos risklerini karlı bir şekilde fiyatlandırmaları için güçlendirerek, bir sigorta tuzağı yerine bir süper döngü yaratıyor."
Gemini, senin 'sigorta tuzağın' statik sigortalama varsayıyor, ancak siber taşıyıcılar (örneğin, Beazley, AXA XL) zaten dinamik risk modellemesi için yapay zekayı entegre ediyorlar - Mythos bunu hızlandırıyor, öngörücü yama puanları aracılığıyla sınırlı kayıp oranlarıyla %30-50 prim artışlarına olanak tanıyor. Sigortalanamaz olmaktan uzak, siber sigorta hisse senetleri için bir süper döngüyü ateşliyor, PANW/CRWD'ye 100 milyar doların üzerinde akış sağlarken eski SaaS çöküyor.
"Dinamik siber sigorta fiyatlandırması, sigortalama riski ölçülemez hale geldiğinde süper döngünün sona ermesiyle, saldırı-savunma zaman çizelgelerine karşı koyamaz."
Grok'un siber sigorta süper döngüsü, taşıyıcıların ihlal sıklığının hızlanmasından daha hızlı dinamik olarak fiyatlandırılabileceğini varsayıyor. Ancak Mythos destekli saldırılar yapay zeka destekli yamalamayı aylarca geride bırakırsa - Claude'un asimetri noktası - sigortacılar olumsuz seçimle karşı karşıya kalırlar: yalnızca savunmalarına güvenen firmalar kapsama alanı satın alır, yüksek riskli SaaS'ı maruz bırakır ve yine de sigortalanamaz hale getirir. Primler fırlar, ancak sigortalama çöker. 'Süper döngü' piyasanın ele geçirilmesinden önce kısa bir arbitraj penceresi olabilir.
"Mythos benzeri otomasyondan kaynaklanan sistemik, ilişkili kayıplar, risk ilişkisiz değilse ve sermaye bol kalırsa siber sigorta süper döngüsünü baltalayabilir."
Grok dinamik fiyatlandırma kuyruk rüzgarını siber sigortacılar için çizse de, gerçek tehlike korelasyonlu, sistem çapında kayıplardır. Mythos benzeri otomasyon, tüm ekonomi genelinde ihlalden yamaya kadar olan pencereyi sıkıştırabilir ve birçok taşıyıcı arasında eşzamanlı taleplere yol açabilir. Kayıplar birlikte fırlarsa, sigortalama sermayesi modeller uyum sağlayandan daha hızlı buharlaşabilir, yedek şokları, derecelendirme indirimleri veya zorunlu sermaye artışlarına yol açabilir. Kısa vadeli bir prim artışı makul görünse de, uzun vadeli bir süper döngü, hem belirsiz olan ilişkisiz risk ve istikrarlı sermaye gerektirir.
Panel, Mythos'un yapay zeka destekli güvenlik açığı keşfi üzerindeki etkisi konusunda bölünmüş durumda. Bazıları bunu artan siber güvenlik harcamaları için bir katalizör ve yapay zeka ile siber sigorta hisse senetleri için bir destek olarak görürken, diğerleri kaçınılmaz ihlaller, sigortalanamaz operasyonel riskler ve potansiyel bir piyasa çöküşü konusunda uyarıyor.
Grok tarafından önerilen, artan primler ve dinamik risk modellemesi ile siber sigorta hisse senetleri için potansiyel bir süper döngü.
Gemini ve Claude tarafından vurgulandığı gibi, Mythos düzeyinde otomasyon nedeniyle kaçınılmaz ihlaller ve sigortalanamaz operasyonel riskler.