Project Glasswing Genişletiliyor

Project Glasswing, dünyanın en önemli yazılımlarını güvenli hale getirmek için yürüttüğümüz ortak bir çabadır. Nisan ayının başında, yaklaşık 50 ilk ortağın Claude Mythos Preview erişimine sahip olduğunu duyurmuştuk ve o zamandan beri, bu ortaklar modeli kod tabanlarında güvenlik açıklarını taramak için kullanmaktadırlar. Yakın zamanda bu ortakların şimdiye kadar 10.000'den fazla yüksek veya kritik önem düzeyinde güvenlik açığı bulduklarını anlattık.

Şimdi Project Glasswing'i genişletiyoruz. Project Glasswing ortaklarımız, siber güvenlik sektörü, açık kaynak yazılım geliştiricileri ve ABD hükümeti ile birkaç haftalık yakın işbirliğinin ardından, ortaklığı yaklaşık 150 yeni kuruluşa genişletiyoruz. Her bir kuruluşun erişim kazanmadan önce güvenlik gereksinimlerimizi karşılaması gerekecek.

Bu yeni grup 15'ten fazla ülkede bulunan kuruluşlardan oluşmaktadır ve çoğu birçok başka kuruluşa kritik altyapı sağlamaktadır. (Gelecekte coğrafi kapsamımızı çok daha ileri seviyelere genişletmeyi planlıyoruz.) Grup, ilk kohorta iyi temsil edilmeyen elektrik, su, sağlık, haberleşme ve donanım gibi çeşitli endüstrileri kapsamaktadır. Yeni ortakların çoğu satıcı—dünya çapında hükümetler de dâhil olmak üzere birçok başka kuruluş tarafından kullanılan kod tabanlarını koruyan şirketler veya kar amacı gütmeyen kuruluşlardır.

Her ortağın ortak noktası, kod tabanlarına karşı başarılı bir saldırının felaket niteliğinde olabileceğidir. Çoğu ortak için, büyük bir saldırının 100 milyondan fazla insanı etkileyebileceğini ve hem küresel hem de ulusal güvenlik açısından önemli sonuçlara yol açabileceğini tahmin ediyoruz.

Bu genişletme, uzun vadeli hedeflerimize doğru bir sonraki adımdır: tüm yazılımları daha güvenli hale getirmek için yapay zekâdan yararlanmak ve endüstrinin yapay zekânın siber güvenliğin temel varsayımlarının çoğunu nasıl değiştirebileceğine uyum sağlamasına yardımcı olmak.

Project Glasswing ve Claude Mythos Preview'in yetenekleri—yazılım endüstrisi içinde ve hükümetlerle—yapay zekânın siber güvenliği nasıl değiştirdiği hakkında geniş tartışmalar başlatmıştır. Bu tartışmalar, programı nasıl genişlettiğimizi bilgilendirmiştir. Ayrıca Project Glasswing'in asıl amacı hakkındaki düşünüşümüzü de şekillendirmiştir.

Ucuz, hızlı ve güçlü siber yeteneklere sahip yapay zekâ modelleri çok yakında karşımıza çıkacaktır. Project Glasswing'in kurumları bu gerçeği yansıtan işletim normlarına yönelmesi gerektiğini düşünüyoruz.

Mythos Preview, bir süredir uyarıda bulunduğumuz uzun vadeli bir eğilimi devam ettirmektedir: 6 ila 12 ay içinde, diğer birçok yapay zekâ şirketinin Mythos sınıfı modelleri olacağını ve bunları kötüye kullanımı önleyen güvenlik önlemleri olmadan yayınlayabileceklerini bekliyoruz. Böyle bir dünyada, siber saldırılar çok daha sık ve çok daha öngörülemez biçimlerde meydana gelebilir. Siber savunmacıların ayak uydurmak için uyum sağlaması zorunludur.

Rolümüzü iki katlı olarak görüyoruz. Birincisi, daha iyi modelleri, araçları ve ortak altyapıyı güvenli bir şekilde geniş çapta sunarak yazılım endüstrisinin uyum sağlamasına yardımcı olmak. İkincisi, sağladığımız desteği kademeli olarak güvenlik açıklarını bulma işinden, açıklamaya, düzeltmeye ve yamalı yazılımı dağıtmaya doğru kaydırmak. Şimdi her birini sırayla tartışacağız.

Şimdiye kadar şirketler, kar amacı gütmeyen kuruluşlar, geliştiriciler ve araştırmacılar hızlı hareket etmiştir. Project Glasswing'in ilk haftalarında, her üye Mythos Preview'i büyük ölçekte kullanmaya başlamış, diğer ortaklarla bilgi ve en iyi uygulamaları paylaşmış ve modelin bulgularını sınıflandırmak için üçüncü taraflarla çalışmıştır. Bu kuruluşların yeni araçlara uyum sağlama yöntemleri, siber saldırılara maruz kalan milyonlarca kuruluş ve geliştirici arasında yaygın olarak taklit edilebilir ve edilmelidir.

Bunu desteklemek için, yakın zamanda Claude Security'yi yayınladık; bu ürün Claude Opus 4.8 gibi en son genel sınır modellerimizi kullanarak kod tabanlarını tarar ve yamalar önerir. Ayrıca—güvenilir güvenlik ekiplerine talepte bulunmak üzere—Project Glasswing'in ortaklarının güvenlik açıklarını daha hızlı bir şekilde bulmasına yardımcı olmak için geliştirdiğimiz araçları da yayınlıyoruz.

Çok daha ileri gitmek niyetindeyiz: uzun vadeli hedefimiz, endüstrinin güçlü siber modeller çağı için yeni girişimleri, standartları ve altyapıyı oluşturmasını desteklemektir.

Daha önce tartıştığımız gibi, siber güvenliğin darboğazı artık Mythos sınıfı modellerin ortaya çıkarabileceği büyük sayıda güvenlik açığının doğrulanması, açıklanması ve yamalanmasıdır.

Mythos Preview'in kendisi yardımcı olabilir. Project Glasswing'in birçok ortağı şimdi yamalar yazmak için modeli kullanmakta ve ayrıca güvenlik açıklarının ilk etapta görülmesini önleyen yayın öncesi kontroller için de kullanmaktadır. Mythos Preview gibi modeller, penetrasyon testi (güvenlik açıklarının nasıl istismar edilebileceğini belirlemek için bir siber saldırıyı simüle etme), tehdit tespitini ve yanıt vermeyi otomatikleştirme ve eski kod tabanlarını hafıza açısından güvenli dillerde yeniden oluşturma gibi diğer birçok savunma görevleri için de kullanılabilir.

Üçüncü taraflarla açık kaynak yazılımdaki güvenlik açıklarının gözden geçirilmesi ve yamalanmasını önemli ölçüde ölçeklendirebilecek yollar hakkında tartışmalar yürütüyoruz. Ayrıca açık kaynak geliştiricilere güvenlik açıklarını açıklama hakkında fikirler ve en iyi uygulamaları paylaşma konusunda çalışıyoruz; bunun amacı, bu raporları sınıflandırmayı ve harekete geçmeyi kolaylaştırmaktır.

Bu yaklaşan zorluk ölçeğine hitap etmek için, yüzlerce bin kuruluş, araştırmacı ve geliştirici, mevcut en gelişmiş siber yeteneklere ve araçlara erişim sağlaması gerekecektir.

Mythos düzeyindeki yetenekleri genel erişime aman göre güvenli bir şekilde sunmak için çalışıyoruz. Bunu yapabilmek için, modelin siber yeteneklerinin kötüye kullanılmasını önleyen son derece güçlü güvenlik önlemleri—hakkında, bildiğimiz kadarıyla, diğer tüm yapay zekâ geliştiricileri de dahil olmak üzere, kimsenin henüz geliştirmediği—gerekecektir. Siber güvenliğin hem yararlı hem de yıkıcı kullanımlara sahip olması nedeniyle, hem güçlü hem de yeterince hassas safeguard'lar oluşturmak büyük bir zorluktur.

Bu arada, Project Glasswing'i daha da genişletmeyi planlıyoruz—ek kritik altyapı sağlayıcılarını, kritik açık kaynak yazılımlarının geliştiricilerini ve güvenlik testçilerini önceliklendirerek. Gelecekteki genişletmelerin bu genişletme gibi hem ABD'de hem de yurtdışında kuruluşları kapsamasını niyetini taşıyoruz. Ayrıca Cyber Verification Program'ımızı ölçeklendirmeyi de niyetleyoruz; bu program birçok daha fazla kuruluşa belirli siber savunma görevleri için Mythos sınıfı yetenekler sağlayacaktır.

Gelecekte, sınır model yayınları giderek daha yüksek riskli hale gelecektir. Yetenekler siber güvenlik gibi—hem saldırganları hem de savunmacıları güçlendirebilen—tüm alanlarda gelişmeye devam edecektir. Bu son kez böyle bir zorlukla yüzleşmemiz olmayacaktır. Ancak Project Glasswing bize modellerin önemli yetenek eşiklerini aştığında nasıl tepki vereceğimiz hakkında çok şey öğretmiştir. Başarılı olursak, savunmacılar için kalıcı bir avantaj sağlamayı umuyoruz.