İnternetin henüz yeni emeklemeye başladığı 1999 yılında, OpenBSD adlı küçük bir işletim sisteminin koduna fark edilmeyen bir hata sızdı. Sonraki 27 yıl boyunca dünyanın en iyi güvenlik araştırmacıları bu kodu defalarca inceledi. Otomatik tarama araçları kodu milyonlarca kez taradı. Hiçbiri o hatayı bulamadı. Sonra 2026 yılının ilk aylarında, Anthropic adlı bir yapay zeka şirketi yeni geliştirdiği modele "şu kodu incele" dedi. Birkaç saat sonra, 27 yıllık hata ortaya çıkmıştı.
Bu sadece OpenBSD ile sınırlı değildi. Aynı yapay zeka, Firefox tarayıcısında, FFmpeg video kütüphanesinde, FreeBSD'de — kısacası dünyanın günlük olarak kullandığı her büyük yazılımda binlerce güvenlik açığı buldu. Üstelik bunların büyük çoğunluğunu birkaç dakika içinde, dolar değil cent maliyetle yaptı. Anthropic bu modeli Claude Mythos Preview adıyla 7 Nisan 2026'da kamuoyuna duyurdu — ama herkesin kullanımına açmamaya karar verdi. Çünkü çok güçlüydü.
Bu yazıda Mythos'un ne olduğunu, neden bu kadar dikkat çektiğini, sıradan bir kullanıcıyı ve işletmeleri nasıl etkilediğini ve bu yeni dönemde dijital dünyada güvende kalmak için neler yapılması gerektiğini anlatıyoruz. Konunun arka planına meraklıysanız Claude Skills rehberimizde Anthropic'in geliştirici araçlarının nasıl çalıştığını da inceleyebilirsiniz.
"Sıfır Gün Açığı" Aslında Ne Demek?#
Önce temel bir kavramı açıklayalım, çünkü bütün hikaye bunun üzerine kurulu.
Bir yazılımı, mahallenizdeki bir ev gibi düşünün. İçinde değerli eşyalar var: fotoğraflarınız, şifreleriniz, banka bilgileriniz, kişisel mesajlarınız. Evi yapan mimar, kapılarına kilit, pencerelerine cam, çevresine duvar koymuş. Ama hiçbir ev mükemmel değildir. Bazı yerlerde bir cam gevşek, bir kilit eksik, bir duvar düşük olabilir. Bu kusurlar bilinmedikçe büyük bir sorun değildir. Sorun, bir hırsızın o kusuru fark edip içeri girmenin yolunu bulmasıdır.
Yazılım dünyasında bu kusurlara güvenlik açığı (vulnerability) deniyor. Bir hırsızın o açığı kullanarak içeri girme yöntemine ise istismar (exploit) deniyor. Eğer açık daha önce keşfedilmemişse, yani ev sahibi bile bilmiyorsa — buna sıfır gün açığı (zero-day) denir. Adını şuradan alır: ev sahibinin onu öğrenip yamamak için sıfır günü vardır. Hırsız zaten içerideki yolu biliyor.
Şimdi düşünün ki bir hırsız, mahallenizdeki bütün evleri aynı anda inceleyebilen, her birinin kusurlarını saatler içinde bulabilen, hatta o kusurları nasıl kullanacağını da öğreten bir asistana sahip olsun. İşte Anthropic'in geliştirdiği şey, dijital dünyanın eşdeğeri bu.
Mythos Aslında Ne Yaptı?#
Anthropic, modeli geliştirme sırasında ona "Capybara" kod adını vermişti — South Amerika'da yaşayan o sevimli, dev kemirgenlere atıfla. Ama isim değişti, kapasite değişmedi.
Birkaç hafta boyunca Anthropic'in araştırmacıları Mythos'u dünyanın en yaygın yazılımlarına yönelttiler. Şu sonuçları aldılar:
- Binlerce güvenlik açığı keşfedildi
- Bunlar her büyük işletim sisteminde vardı (Linux, OpenBSD, FreeBSD, Windows, macOS)
- Her büyük tarayıcıda vardı (Firefox, Chrome, Safari)
- En eski açık 27 yıllıktı — OpenBSD'nin en güvenli olduğu sanılan kısımlarından birinde
- Bir başka açık 16 yıldır FFmpeg adlı, internetteki neredeyse her video oynatıcının kullandığı kütüphanedeydi
- Bir tanesi 17 yıldır FreeBSD'de — internet altyapısının ciddi bölümünü çalıştıran sistemde — vardı
IMPORTANT
Bu yazılımlar ev kullanıcıları için yan ürünler değil. Bu sistemler bankaların altyapısını, hükümet sunucularını, şifreli e-posta hizmetlerini, internet yönlendiricilerini ve güvenlik duvarlarını çalıştırıyor. Yani milyarlarca insanın güvende olduğunu sandığı dijital duvarlar, aslında onlarca yıldır kapısı aralıktı.
"Onlarca Yıl Bilen Olmadı, Yapay Zeka Birkaç Saatte Buldu"#
Bu cümlenin ne kadar şok edici olduğunu anlamak için biraz daha bağlam vermemiz gerekiyor.
OpenBSD, dünyanın en güvenli işletim sistemi olarak tasarlandı. Geliştiricileri, kodun her satırını el ile incelemekle övünür. Açık kaynaktır, yani isteyen herkes kodu okuyabilir. Onlarca yıldır binlerce profesyonel araştırmacı bu kodu mercekle inceledi. Devasa şirketler, devletler, akademisyenler bu kodu kullandı ve test etti. Hiçbiri o 27 yıllık hatayı bulamadı.
Daha da ilginç olanı: FFmpeg açığı için otomatik tarayıcılar kodu 5 milyon kez taramıştı. Hiçbiri uyarı vermedi.
Anthropic bu olaya bir isim verdi: Project Glasswing (Cam Kanat Projesi). İsim, glasswing kelebeğinden geliyor — kanatları o kadar şeffaf ki, gözlerinizin önünde dururken bile fark edilmiyor. Anthropic'in vermek istediği mesaj net: Bu açıklar her zaman oradaydı. Sadece kimse görmedi. Mythos, gözünü kırpmadan onları gördü.
Sayılar Ne Diyor?#
Yapay zekanın güvenlik konusundaki ilerlemesi yıllardır küçük adımlarla devam ediyordu. Ama Mythos farklı bir şey yapıyor — ve sayılar bunu gösteriyor.
| Test | Önceki en iyi model (Opus 4.6) | Mythos Preview |
|---|---|---|
| Firefox tarayıcısında istismar yazma başarısı | %0.5 | %90 |
| Karmaşık kontrol akışı analizinde başarı | 1 birim | 10 birim |
Bunları çevirelim: Önceki model 200 denemeden sadece 1'inde Firefox'ta çalışan bir saldırı oluşturabiliyordu. Mythos, 10 denemeden 9'unda başarılı oluyor. Bir başka deyişle, 180 kat daha iyi.
CrowdStrike adlı dünyanın en büyük siber güvenlik şirketlerinden birinin Teknoloji Direktörü Elia Zaitsev durumu şöyle özetledi: "Eskiden aylar süren işler artık yapay zekayla dakikalarda gerçekleşiyor."
Peki bu maliyet açısından ne anlama geliyor? Anthropic, modelin bir Linux çekirdek açığını keşfedip işler bir saldırıya dönüştürmesinin maliyetini açıkladı: 1000 dolardan az, bir günden az süre. Karşılaştırmak gerekirse, profesyonel bir güvenlik araştırmacısının aynı işi yapması haftalar alır ve ücreti onlarca bin doları bulur.
Anthropic Neden Korktu?#
Bu noktada doğal bir soru ortaya çıkıyor: Eğer Mythos bu kadar güçlüyse, neden Anthropic onu herkese açmıyor?
Cevap basit: Çünkü her yetenek iki yönlüdür. Savunma için harika olan şey, saldırı için de harikadır.
Anthropic'in "Frontier Red Team" (öncü kırmızı takım) ekibinin başkanı Logan Graham durumu şöyle ifade etti: "Bu, kanaatimizce bir endüstri dönüm noktası — ya da bir hesap günü — için başlangıç noktasıdır."
Anthropic bu yüzden modeli Project Glasswing adlı koalisyonla sınırlı tuttu. Koalisyonda kimler var? İsim listesi şaşırtıcı:
| Şirket | Sektör |
|---|---|
| Apple | Tüketici elektroniği, iOS, macOS |
| Microsoft | Windows, Azure bulut |
| Android, Chrome, arama (Anthropic'in rakibi) | |
| Amazon (AWS) | Bulut altyapı |
| NVIDIA | Yapay zeka donanımı |
| JPMorgan Chase | Finans devi |
| Cisco | Ağ donanımı |
| Broadcom | Yarı iletkenler |
| CrowdStrike | Siber güvenlik |
| Palo Alto Networks | Ağ güvenliği |
| Linux Foundation | Açık kaynak çekirdek |
Bu listenin ilginç tarafı şu: Anthropic'in doğrudan rakipleri olan Google bile koalisyonda. Bu, normalde sıkı sıkıya rekabet eden devlerin ortak bir tehdit karşısında bir araya geldiğinin işareti. Buna ek olarak 40'tan fazla kritik altyapı kuruluşu da modele erişim hakkı kazandı.
Anthropic bu girişime ciddi bir mali destek de verdi:
- 100 milyon dolarlık Claude kullanım kredisi
- 4 milyon dolarlık açık kaynak güvenlik organizasyonlarına bağış
NOTE
Anthropic'in baş bilim insanı Jared Kaplan verdikleri mesajı şöyle özetledi: "Amaç hem farkındalık yaratmak hem de iyi aktörlere — yani savunmacılara — açık kaynak ve özel altyapıyı koruma yarışında bir baş başa avantaj vermek."
Tarih Tekerrür mü Ediyor? GPT-2 Hayaleti#
Bu hikayenin ilginç bir yan etkisi var. 2019 yılında OpenAI adlı bir başka yapay zeka şirketi de benzer bir karar almıştı. GPT-2 adlı modellerini "çok tehlikeli" olduğu gerekçesiyle yayınlamayı reddetmişlerdi. O zaman "metin üretme yeteneği toplu propaganda üretmek için kullanılabilir" demişlerdi.
Birkaç ay sonra GPT-2 yayınlandı ve dünya devrilmedi. Korkular abartılıydı.
Şimdi ilginç olan şu: GPT-2 ekibinin pek çok üyesi sonradan OpenAI'dan ayrılıp Anthropic'i kurdu. Yani aynı insanlar, yıllar sonra benzer bir karar veriyorlar. Soru şu: Bu sefer haklı mıydılar, yoksa yine aşırı ihtiyatlı mı davranıyorlar?
Eleştirmenler bu yönde sorular soruyor. AISLE adlı bir güvenlik araştırma firması, Anthropic'in Mythos'la bulduğunu iddia ettiği açıkları küçük, ücretsiz açık kaynak modellerle test etti. Sonuç ilginç: AISLE'ın denediği 8 modelin 8'i de Mythos'un "amiral gemisi" örneği olan FreeBSD açığını bulabildi. AISLE'a göre Anthropic, bu yeteneklerin sandığı kadar eşsiz olmadığını görmezden geliyor.
Yani gerçek muhtemelen ortada bir yerde: Mythos gerçekten güçlü bir model, ama bu yetenekler artık yalnızca devlere özgü değil. Bu da hikayeyi daha da endişe verici yapıyor — çünkü demek ki kötü niyetli aktörler de çok uzakta değil.
Bütün Bunlar Senin İçin Ne Anlama Geliyor?#
Şimdi gerçekten önemli olan kısma geldik. Sıradan bir kullanıcı olarak — telefonunu, banka uygulamasını, e-postanı kullanan biri olarak — bütün bu hikaye seni nasıl etkiliyor?
Önce sakinleşelim: Bu, "yarın bütün hesaplarınız hacklenecek" demek değil. Anthropic modeli kontrollü bir şekilde paylaştı. Bulunan açıkların büyük çoğunluğu yamalanma sürecinde. Apple, Google, Microsoft gibi devler bu açıkları acil olarak kapatıyor.
Ama dikkatli olalım: Hikaye şunu kanıtladı — onlarca yıldır güvenli sandığımız sistemler aslında öyle değildi. Sadece kimse zayıflıkları görmüyordu. Şimdi yapay zeka onları görüyor. Demek ki gelecekte:
- Yazılım güncellemeleri eskisinden daha sık gelecek. Telefonunuzdaki "güncelleme var" bildirimini erteleme alışkanlığını bırakmak, eskisinden çok daha kritik.
- Şifre yöneticisi artık zorunlu. Aynı şifreyi birden fazla yerde kullanmak, açık alanda değerli eşya bırakmak gibi.
- İki adımlı doğrulama (2FA) sıradanlaşmalı. Bankanız, e-postanız, sosyal medyanız için bunu açın. Bu, kapınıza bir de kilit daha takmak gibidir.
- "Şüpheli geliyor" içgüdünüze güvenin. E-posta, mesaj, link — eğer bir şey tuhafsa, muhtemelen tuhaftır.
- Eski yazılımları bırakın. Hâlâ Windows 7, eski telefon modeli, güncellenmemiş tarayıcı kullanıyorsanız — bunlar artık "biraz tehlikeli" değil, "doğrudan açık kapı" demek.
TIP
Mythos'un hikayesi aslında bir otomatik güncelleme reklamı. Çünkü bulunan açıkların yamaları geliyor — ama yamayı yüklemezseniz hiçbir işe yaramaz. Cihazlarınızda otomatik güncellemeyi açık tutun, bu en küçük çabayla en büyük güvenliği sağlar.
İşletmeler İçin: Yeni Oyun Kuralları#
Eğer bir işletme sahibiyseniz — restoran, kafe, fabrika, e-ticaret sitesi, küçük yazılım şirketi, ne olursa olsun — bu hikaye sizin için sıradan bir kullanıcıdan çok daha önemli. Çünkü siz sadece kendi verilerinizden değil, müşterilerinizin verilerinden de sorumlusunuz.
Eski "patch döngüsü" anlayışı — yani ayda bir, üç ayda bir güvenlik güncellemesi yapmak — artık geçerli değil. Mythos hikayesi bize şunu söylüyor: bulunma ile saldırılma arasındaki süre kısalıyor. Eskiden bir açık keşfedildikten sonra saldırganların onu kullanılır hale getirmesi haftalar, aylar alıyordu. Şimdi yapay zeka ile bu süre günler, hatta saatlere düşüyor.
Bu yeni dünyada işletmenizin yapması gerekenler:
- Otomatik güncellemeyi açın. Sunucularınızda, müşteri terminallerinizde, ağ ekipmanlarınızda — "ben kontrol edip yüklerim" dönemi bitti.
- Defense-in-depth uygulayın. Yani birden fazla güvenlik katmanı kurun. Tek bir güvenlik duvarına güvenmek, evi tek kilitle kilitlemek gibi.
- Eski sistemleri modernize edin. O 10 yıllık yazılım sizi rahat ettiriyor olabilir, ama şimdi ciddi bir tehdit. Modernizasyon planlayın.
- Tedarikçilerinizi sorgulayın. Kullandığınız POS sistemi, muhasebe yazılımı, e-ticaret altyapısı — bunların geliştiricilerinin güvenlik politikası nedir? Ne sıklıkla güncelleniyor? Bilmiyorsanız sorun.
- Yapay zekayı savunma için kullanın. Mythos hikayesi sadece tehdit değil, aynı zamanda fırsat. Aynı yapay zeka, sizin sisteminizi tarayabilir, açıkları sizin için bulabilir, savunmanızı güçlendirebilir.
- İncident response planınız olsun. "Hacklenirsek ne yaparız?" sorusunun cevabını bilmek artık opsiyonel değil.
Web sitesi mi mobil uygulama mı karşılaştırma yazımızda değindiğimiz gibi, dijital varlığınız iş modelinizin kalbinde. Onu güvende tutmak sadece teknik bir iş değil, iş sürekliliğinin temel koşulu.
Türkiye'deki KOBİ'ler İçin Özel Bir Not#
Türkiye'deki küçük ve orta ölçekli işletmelerin büyük bölümünde belirli bir alışkanlık var: yazılım güncellemelerini ertelemek. "Şu an çalışıyor, dokunma" yaklaşımı çok yaygın. Bu yaklaşım, eski dünyada biraz risklı bir tercihti. Yeni dünyada ise çok riskli.
Özellikle şu sektörler şu an en büyük risk altında:
- Restoran ve kafe POS sistemleri — kart bilgileri taşıdığı için saldırganlar için altın değerinde
- Fabrika ve üretim kontrol sistemleri — saldırı üretim hattını durdurabilir, milyonluk kayıplar
- E-ticaret altyapısı — müşteri verisi, ödeme bilgisi, KVKK yükümlülüğü
- Muhasebe ve ERP sistemleri — finansal veri, kişisel veri, vergi uyumluluğu
- Eski web siteleri ve içerik yönetim sistemleri — saldırganların yıllardır en kolay hedefi
WARNING
Şu cümleyi tanıyor musunuz: "Biz küçük bir işletmeyiz, kim bizi hack'lemek ister ki?" — Bu, modern siber güvenliğin en tehlikeli yanılgısı. Saldırganlar genellikle "küçük" demez, "kolay" der. Otomatize edilmiş saldırılar tek bir kurban aramaz, binlerce zayıf hedefe aynı anda vurur.
"Bu, Sahip Olacağımız En Az Yetenekli Model"#
Yazıyı bitirmeden önce Anthropic'in baş bilim insanı Jared Kaplan'ın söylediği bir cümleyi daha vermek istiyoruz, çünkü bu cümle bütün hikayenin özünü taşıyor:
"Sloganda da dediğimiz gibi: bu, gelecekte erişimimiz olacak en az yetenekli modeldir."
Düşünün: Mythos şu an dünyayı sarsıyor. Onlarca yıllık güvenlik açıklarını saatlerde buluyor. Profesyonel araştırmacıların bulamadıklarını keşfediyor. Ve bu, gelmesi muhtemel tüm modellerin en zayıfı.
Bir yıl sonra ne olacak? Beş yıl sonra? On yıl sonra?
Bu soru — hem korkutucu hem de heyecan verici — yapay zeka çağının temel sorusu. Ve cevap, ortaya çıkacak teknolojiden ziyade, insanların ve kurumların buna nasıl tepki vereceğine bağlı. Pasif kalanlar geride kalacak. Proaktif olanlar bu yeni dünyada kazanacak.
Sonuç: Korkmak Değil, Hazırlanmak#
Mythos'un hikayesi siber güvenlik dünyasında bir uyandırma çağrısı. Ama bu çağrı, panik için değil, eylem için. Tehdit gerçek, ama çözüm de gerçek. Ev kullanıcıları için: güncellemelerinizi yapın, şifre yöneticisi kullanın, 2FA'yı açın. İşletmeler için: patch döngünüzü hızlandırın, savunmanızı katmanlı hale getirin, eski sistemleri modernize edin.
Yapay zeka ve MCP araçlarıyla ilgili yazımızda anlattığımız gibi, modern yapay zeka araçları sadece tehdit değil — aynı zamanda en güçlü savunma silahımız. Mesele teknolojinin kendisi değil, onu doğru ellerde, doğru şekilde kullanmak.
Mythos, gelecekte erişimimiz olacak en az yetenekli model. Bu cümle hem bir uyarı hem bir vaattir. Uyarı, çünkü tehditler giderek artacak. Vaat, çünkü savunmacıların elinde de aynı güçlü araçlar olacak. Hangi tarafta olduğunuz, ne kadar hızlı uyum sağladığınıza bağlı.
Çelenk Yazılım olarak işletmelerin dijital güvenliği, modern altyapı geçişleri ve yapay zeka destekli güvenlik çözümleri konusunda hizmet veriyoruz. İşletmenizi bu yeni döneme hazırlamak istiyorsanız iletişim sayfamızdan bize ulaşabilirsiniz.
Kaynaklar#
- Anthropic Red Team — Claude Mythos Preview Değerlendirmesi
- Anthropic — Project Glasswing
- The New York Times — Kevin Roose'un Mythos analizi
- TechCrunch — Anthropic Mythos AI duyurusu
- Fortune — Project Glasswing detayları
- The Hacker News — Mythos zero-day bulguları
- AISLE — Mythos sonrası AI siber güvenlik analizi (eleştirel görüş)
