Yapay zeka (YZ) şirketi Anthropic, en son büyük dil modeli (LLM) olan Claude Opus 4.6'nın, Ghostscript , OpenSC ve CGIF dahil olmak üzere açık kaynaklı
kütüphanelerde daha önce bilinmeyen 500'den fazla yüksek önem dereceli güvenlik açığı bulduğunu açıkladı .
Perşembe günü piyasaya sürülen Claude Opus 4.6, kod inceleme ve hata ayıklama yetenekleri de dahil olmak üzere geliştirilmiş kodlama becerilerinin yanı sıra finansal analizler, araştırma ve belge oluşturma gibi görevlere yönelik iyileştirmelerle birlikte geliyor.
Anthropic, modelin herhangi bir göreve özgü araç, özel iskele veya özel yönlendirme gerektirmeden yüksek önem dereceli güvenlik açıklarını keşfetmede "önemli ölçüde daha iyi" olduğunu belirterek, açık kaynaklı yazılımlardaki güvenlik açıklarını bulmak ve düzeltmeye yardımcı olmak için bu modeli kullandığını söyledi.
"Opus 4.6, tıpkı bir insan araştırmacı gibi kodları okuyor ve mantık yürütüyor; geçmişteki düzeltmelere bakarak ele alınmamış benzer hataları buluyor, sorunlara yol açma eğiliminde olan kalıpları tespit ediyor veya bir mantık parçasını tam olarak hangi girdinin onu bozacağını bilecek kadar iyi anlıyor," diye ekledi.
Anthropic'in Frontier Red Team ekibi, piyasaya sürülmeden önce modeli sanallaştırılmış bir ortamda test etti ve açık kaynaklı projelerdeki kusurları bulmak için hata ayıklayıcılar ve fuzzer'lar gibi gerekli araçları sağladı. Amaç, bu araçların nasıl kullanılacağına dair herhangi bir talimat vermeden veya güvenlik açıklarını daha iyi belirlemesine yardımcı olabilecek bilgiler sağlamadan modelin varsayılan yeteneklerini değerlendirmekti.
Şirket ayrıca, keşfedilen her kusurun uydurma (yani hayal ürünü) olmadığından emin olmak için doğrulama yaptığını ve LLM'nin, tespit edilen en ciddi bellek bozulması güvenlik açıklarını önceliklendirmek için bir araç olarak kullanıldığını belirtti.
Claude Opus 4.6 tarafından tespit edilen güvenlik açıklarından bazıları aşağıda listelenmiştir. Bunlar ilgili geliştiriciler tarafından giderilmiştir.
- Git commit geçmişini ayrıştırarak, eksik sınır kontrolünden yararlanarak çökmeye neden olabilecek Ghostscript'teki bir güvenlik açığını tespit etme.
- OpenSC'de arabellek taşması güvenlik açığını belirlemek için strrchr() ve strcat() gibi fonksiyon çağrılarını aramak.
- CGIF'te yığın arabellek taşması güvenlik açığı ( 0.5.1 sürümünde düzeltildi )
Anthropic, CGIF hatasıyla ilgili olarak, "Bu güvenlik açığı özellikle ilgi çekici çünkü tetiklenmesi için LZW algoritmasının kavramsal olarak anlaşılması ve GIF dosya formatıyla ilişkisinin bilinmesi gerekiyor," dedi. "Geleneksel fuzzer'lar (ve hatta kapsama odaklı fuzzer'lar) bu tür güvenlik açıklarını tetiklemekte zorlanıyor çünkü belirli bir dal seçimi yapmayı gerektiriyor."
"Aslında, CGIF'in %100 hat ve dal kapsamına sahip olması durumunda bile, bu güvenlik açığı yine de tespit edilemeyebilir: çok özel bir işlem dizisi gerektirir."
Şirket, Claude gibi yapay zeka modellerini savunmacılar için "rekabet ortamını eşitlemek" adına kritik bir araç olarak tanıttı. Ancak potansiyel tehditler keşfedildikçe güvenlik önlemlerini ayarlayacağını ve güncelleyeceğini, ayrıca kötüye kullanımı önlemek için ek güvenlik tedbirleri alacağını da vurguladı.
Bu açıklama, Anthropic'in mevcut Claude modellerinin, bilinen güvenlik açıklarını bulup istismar ederek yalnızca standart, açık kaynaklı araçlar kullanarak düzinelerce sunucuya sahip ağlara yönelik çok aşamalı saldırılarda başarılı olabileceğini söylemesinden haftalar sonra geldi.
Açıklamada , "Bu durum, yapay zekanın nispeten otonom siber iş akışlarında kullanımının önündeki engellerin hızla nasıl azaldığını gösteriyor ve bilinen güvenlik açıklarının derhal yamalanması gibi temel güvenlik prensiplerinin önemini vurguluyor" denildi .
