Anthropic Project Glasswing: AI Destekli Siber Güvenlikte Yeni Dönemin Başlangıcı

Siber Güvenlik Analizi

Anthropic Project Glasswing: AI Destekli Siber Güvenlikte Yeni Dönemin Başlangıcı

Yapay zeka modelleri artık en deneyimli güvenlik uzmanlarının bile bulamadığı açıkları buluyor. Anthropic’in 12 teknoloji devini bir araya getiren Glasswing projesi, siber savunmanın geleceğini yeniden tanımlıyor.

Secure Fors Siber Güvenlik | Nisan 2026 | Okuma süresi: ~14 dk
12
Kurucu Ortak
$500B+
Yıllık Siber Suç Maliyeti
$100M
Anthropic Kredi Taahhüdü
40+
Ek Katılımcı Kurum
İçindekiler
  1. Giriş: Paradıgma Değişimi
  2. Project Glasswing Nedir?
  3. Claude Mythos Preview: Yetenekler ve Bulgular
  4. Benchmark Karşılaştırması
  5. Kurucu Ortaklar ve Rolleri
  6. Tehdit Manzarasi: Neden Şimdi?
  7. Savunma Perspektifi: AI’in Beyaz Şapka Rolu
  8. Türkiye Perspektifi: KVKK, Kritik Altyapı ve TPRM
  9. CISO’lar ve Güvenlik Yöneticileri İçin Çıkarımlar
  10. Sonuç ve Öneriler

01 Giriş: Paradıgma Değişimi

7 Nisan 2026 tarihinde Anthropic, siber güvenlik tarihinin en önemli endustri isbirliklerinden birini duyurdu: Project Glasswing. Bu girişim, yapay zeka modellerinin yazılım güvenlik açıklarıni bulma ve istismar etme konusunda ulastigi seviyeye doğrudan bir yanit niteliğinde.

Projenin adı, şeffaf kanatları sayesinde doğada neredeyse görünmez hale gelen glasswing kelebeği‘nden (Greta oto) geliyor. Metafor iki yönlü çalışıyor: yıllardır fark edilmeden yazılımlarda gizlenen zafiyetler gibi, kelebeğin kanatları da görünmez. Ayni zamanda şeffaflık yoluyla tehditlerden korunma stratejisine de işaret ediyor.

Kritik Gerçek: Yapay zeka modelleri, yazılım zafiyetlerini bulma ve istismar etme konusunda en yetenekli insan uzmanlar disinda herkesi geçebilecek seviyeye ulasti. Bu yetkinliklerin kotu niyetli aktoerlere yayilmasi an meselesi.

Bu makale, Project Glasswing’in teknik detaylarını, Claude Mythos Preview modelinin ortaya koyduğu sonuçlari, küresel siber güvenlik manzarasına etkisini ve özellikle Türkiye’deki kurumların bu gelismeden çıkarmaları gereken dersleri kapsamlı bir sekilde inceliyor.

02 Project Glasswing Nedir?

Project Glasswing, Anthropic’in liderliginde oluşturulan ve dünyanın en kritik yazılım altyapılarıni yapay zeka destekli güvenlik taramasi ile koruma altina almayi hedefleyen bir endustri işbirliği platformudur.

Temel Amac

Frontier AI modellerinin güvenlik açığı bulma yeteneklerini, saldırganlardan önce savunma amacıyla seferber etmek. Projenin temelinde su gerçek yatıyor: AI modelleri artık hem açık bulmada hem de exploit geliştirmede insanlara yaklaşan—ve çoğu durumda onları aşan—yeteneklere sahip. Bu yetenekler kontrol edilmezse, siber saldırı yuzeyini katlanarak genişletecek.

Kapsam ve Yapılanma

🏠

Kurucu Ortaklar

AWS, Apple, Broadcom, Cisco, CrowdStrike, Google, JPMorganChase, Linux Foundation, Microsoft, NVIDIA, Palo Alto Networks ve Anthropic

💰

Finansal Taahhut

Anthropic, 100 milyon dolarlik model kullanim kredisi ve açık kaynak güvenlik kuruluslarina 4 milyon dolar bagis taahhüt etti

🔒

Erişim Modeli

Kurucu ortaklar + 40’tan fazla ek kurum. Kritik yazılım altyapısını tarayan ve güvenliğini saglayan kisitli erişim

📄

Şeffaflık Taahhüdü

90 gun içinde kamuya açık rapor: tespit edilen zafiyetler, uygulanan yamalar ve öğrenilenler paylaşılacak

Önemli Not: Claude Mythos Preview genel kullanıma sunulmayacak. Anthropic’in hedefi, Mythos sinifi modelleri güvenlik önlemleriyle birlikte ölçeklendirmek. Yeni güvenlik katmanlari, yaklaşan bir Claude Opus guncellemesiyle birlikte test edilecek.

03 Claude Mythos Preview: Yetenekler ve Bulgular

Claude Mythos Preview, Anthropic tarafından egitilen, henuz genel kullanıma sunulmamis bir frontier modeldir. Güçlü agentic kodlama ve muhakeme yeteneklerine sahip olan model, bu becerileri siber güvenlik alaninda benzeri görülmemiş sonuçlarla ortaya koymustur.

Otonom Zafiyet Tespiti: Uc Çarpıcı Örnek

Örnek 1 — OpenBSD
27 Yıllık Zafiyet
Dünyanın en güvenliği sertleşmiş işletim sistemlerinden biri olarak bilinen OpenBSD’de, uzaktan baglanarak makineyi tamamen çökertmeye yeten bir güvenlik açığı tespit edildi. Bu zafiyet 27 yıldır keşfedilememişti. OpenBSD, güvenlik duvarlari ve kritik altyapi sistemlerinde yaygın olarak kullanılır.
Örnek 2 — FFmpeg
5 Milyon Test, Sifir Tespit
Sayısız yazılımda video kodlama ve kod çözme için kullanılan FFmpeg kütüphanesinde 16 yıllık bir zafiyet bulundu. Otomatik test araçları aynı kod satirini 5 milyon kez çalıştırmış, ancak hataya hicbir zaman ulaşamamıştı. Mythos Preview, bunu tamamen otonom sekilde tespit etti.
Örnek 3 — Linux Kernel
Zincirleme Exploit: Kullanicidan Root’a
Dünyanın sunucularinin büyük çoğunluğunu çalıştıran Linux cekirdeginde birden fazla zafiyeti otonom olarak zincirleyerek, siradan bir kullanici erişiminden tam sistem kontrolüne (root) yükselen bir exploit geliştirdi. Tum surec insan yönlendirmesi olmadan gerçekleşti.
Kapsam Büyüklüğü: Mythos Preview, tüm büyük işletim sistemlerinde ve tüm büyük web tarayicilarinda binlerce zero-day zafiyet tespit etti. Bunlarin birçoğu kritik onem düzeyde. Bazi zafiyetler onlarca yıldır insan incelemesinden ve milyonlarca otomatik testten geçmişti.

Nasıl Çalışıyor?

Mythos Preview’in siber güvenlik yetenekleri, guclu agentic kodlama ve muhakeme becerilerinin bir sonucudur. Model, kaynak kodu okuyup anlamlandırma, mantik zincirleri oluşturma, coklu zafiyetleri birbirine bağlama ve calisan exploit kodu uretme konularinda insan güvenlik araştırmacılarına yaklaşan—ve bazi alanlarda aşan—performans göstermektedir.

Kritik nokta: Model bu zafiyetlerin çoğunlugunu tamamen otonom olarak, herhangi bir insan yönlendirmesi olmaksizin tespit etmis ve exploit geliştirmiştir. Bu, siber güvenlik alaninda bir ilki temsil etmektedir.

04 Benchmark Karşılaştırması

Mythos Preview, hem siber güvenlik hem de genel kodlama/muhakeme alanlarinda mevcut en iyi model olan Claude Opus 4.6’yi önemli farklarla geride bırakıyor. Aşağıdaki tablo, seçili benchmark sonuçlarını özetlemektedir:

Benchmark Kategori Mythos Preview Opus 4.6 Fark
CyberGym Siber Güvenlik %83,1 %66,6 +16,5
SWE-bench Verified Agentic Kodlama %93,9 %80,8 +13,1
SWE-bench Pro Agentic Kodlama %77,8 %53,4 +24,4
Terminal-Bench 2.0 Agentic Kodlama %82,0 %65,4 +16,6
GPQA Diamond Muhakeme %94,6 %91,3 +3,3
HLE (Araçsız) Muhakeme %56,8 %40,0 +16,8
HLE (Araçlı) Muhakeme %64,7 %53,1 +11,6
BrowseComp Ajan Arama %86,9 %83,7 +3,2
OSWorld-Verified Bilgisayar Kullanimi %79,6 %72,7 +6,9

Görsel Benchmark Karşılaştırması

CyberGym
Mythos
%83,1
Opus 4.6
%66,6
SWE-bench Verified
Mythos
%93,9
Opus 4.6
%80,8
SWE-bench Pro
Mythos
%77,8
Opus 4.6
%53,4
GPQA Diamond
Mythos
%94,6
Opus 4.6
%91,3
Dikkat: BrowseComp testinde Mythos Preview, Opus 4.6’dan 4,9 kat daha az token kullanarak daha yüksek skor elde etti. Bu, yalnizca doğruluk değil aynı zamanda verimlilik üstünlüğüne de işaret ediyor.

05 Kurucu Ortaklar ve Rolleri

Project Glasswing’in kurucu ortak yapısı, siber güvenlik ekosisteminin farklı katmanlarını temsil eden stratejik bir bilesenle oluşturulmuştur:

Ortak Sektörel Rol Glasswing Katkisi
Anthropic AI Gelistirici Mythos Preview modeli, $100M kredi, koordinasyon
AWS Bulut Altyapısi Kendi güvenlik operasyonlarında test, Bedrock uzerinden erişim
Apple Tuketici Teknolojisi Isletim sistemi ve ekosistem güvenlik taramasi
Cisco Ag Güvenlik Kritik altyapi koruma, endpoint güvenliği
CrowdStrike Endpoint Güvenlik Tehdit istihbaratı ve zero-day tespiti
Google Bulut & Arama Vertex AI uzerinden erişim, Big Sleep & CodeMender araçları
JPMorganChase Finansal Hizmetler Finans sektörü kritik altyapi değerlendirmesi
Linux Foundation Açık Kaynak $2,5M bagis alicisi, açık kaynak bakim erişimi
Microsoft Kurumsal Yazilim CTI-REALM benchmark testi, Foundry uzerinden erişim
NVIDIA Donanim/GPU Donanim düzeyi güvenlik arastirmasi
Palo Alto Networks Siber Güvenlik Zero-day tespiti, güvenlik yigini modernizasyonu
Broadcom Yari Iletken/Yazilim Altyapı yazılım güvenlik taramasi
Cisco Baş Güvenlik Sorumlusu Anthony Grieco’nun ifadesiyle: AI yetenekleri, kritik altyapıların siber tehditlerden korunması için gereken aciliyeti kokten değiştiren bir esigi asti. Eski sistem sertlestirme yontemleri artık yeterli değil. — Anthony Grieco, SVP & Chief Security & Trust Officer, Cisco

06 Tehdit Manzarasi: Neden Şimdi?

Project Glasswing’in zamanlamasi tesaduf değil. Siber güvenlik manzarasi, AI yeteneklerinin buyumesiyle birlikte hızla değişiyor:

AI Öncesi ve Sonrası: Saldırı Dinamikleri

Parametre AI Öncesi AI Sonrası
Zafiyet Kesfi Haftalar-aylar, uzman insan gerektir Saatler-gunler, otonom model yeter
Exploit Geliştirme Yüksek uzmanlik, az sayida birey Model zincirleme exploit uretebiliyor
Saldırı Maliyeti Yüksek (insan saati + arac) Düşük (API maliyeti + hesaplama)
Ölçeklenebilirlik Sınırlı (insan kapasitesi) Neredeyse sınırsız (paralel çalıştırma)
Yayilma Riski Belirli devlet aktorleri Demokratiklesmis tehdit (herhangi bir aktor)

Küresel Siber Saldırı Örnekleri

Glasswing duyurusunda vurgulanan ve siber saldırılardan etkilenen sektörler arasında kurumsal ağlar, sağlık sistemleri (WannaCry saldırısi ile NHS’in felc olmasi), enerji altyapısı (Colonial Pipeline), ulaşım merkezleri (Avrupa havalimanlarinda fidye yazilimi) ve ABD Hazine Bakanligi dahil devlet kurumları yer aliyor. Cin, Iran, Kuzey Kore ve Rusya kaynaklarli devlet destekli saldırılar, hem sivil yaşami hem de askeri hazirbulunsulugu tehdit ediyor.

Kritik Uyarı: Küresel siber suç maliyetinin yılda yaklaşık 500 milyar dolar olduğu tahmin ediliyor. AI yeteneklerinin saldırganlar tarafından benimsenmesiyle bu rakamin katlanarak artmasi bekleniyor.

Zaman Penceresi Daralıyor

CrowdStrike CTO’su Elia Zaitsev’in ifadesiyle: bir zafiyetin keşfedilmesi ile saldırgan tarafından istismar edilmesi arasındaki sure—eskiden aylar alan bu pencere—AI ile dakikalara indi. Bu, yavaslamak için değil, birlikte daha hızlı hareket etmek için bir neden.

07 Savunma Perspektifi: AI’in Beyaz Şapka Rolu

Glasswing’in temel mesajı iyimser: saldırı için kullanılabilecek aynı yetenekler, savunma için de kullanılabilir. Projenin odaklandığı savunma alanlari:

🔍

Yerel Zafiyet Tespiti

Kaynak kodun otonom taranması, onlarca yıllık birikimis açıkların keşfedilmesi

💀

Kara Kutu Testi

Binary dosyaların kaynak kod olmadan test edilmesi, tersten mühendislik yetenekleri

💻

Endpoint Güvenliği

Uc nokta sistemlerinin sistematik olarak taranması ve sertleştirilmesi

🔧

Penetrasyon Testi

Sistem düzeyi pentest senaryolarının otonom yürümesi

📦

Açık Kaynak Güvenliği

Linux Foundation ortaklığı ile kritik OSS kütüphanelerinin taranması

🛠

Yama Otomasyonu

Tespit edilen zafiyetlerin düzeltilmesi için otonom yama uretimine doğru ilerleme

Linux Foundation CEO’su Jim Zemlin’in belirttiği üzere: Açık kaynak bakimcilari—yazilimlari dünyanın kritik altyapısının temelini oluşturan bu kişiler—güvenlik konusunda tarihsel olarak kendi başlarının çaresine bakmak zorunda kaldı. Project Glasswing, AI destekli güvenliğin her bakimci için güvenilir bir yardimci olmasinin yolunu açıyor. — Jim Zemlin, CEO, The Linux Foundation

90 Günlük Raporlama Taahhüdü

Anthropic, 90 gun içinde kamuya açık bir rapor yayınlama taahhüt ediyor. Bu rapor, öğrenilenler, yamalanan zafiyetler ve ifşa edilebilecek iyileştirmeleri içerecek. Ayrıca öncü güvenlik kuruluşlarıyla işbirliği içinde, AI çağında güvenlik pratiklerinin nasıl evrilmesi gerektiğine dair pratik öneriler seti oluşturulacak.

08 Türkiye Perspektifi: KVKK, Kritik Altyapı ve TPRM

Project Glasswing doğrudan ABD merkezli bir girişim olsa da, ortaya koyduğu gerçekler Türkiye’deki kurumlar için de doğrudan sonuçlar içeriyor:

KVKK ve Veri Güvenliği

KVKK’nin Şubat 2026 tarihli Üretken Yapay Zeka Is Yeri Rehberi, kurumların AI araçlarını nasıl kullandigini denetleme yükümlülüğünü netleştirdi. Ancak AI modellerinin kendilerinin zafiyet istismar aracı olarak kullanılabileceği senaryosu, mevcut KVKK çerçevesinin ötesinde bir tehdit oluşturuyor. Türkiye’deki veri sorumlulari, teknik ve idari tedbirlerini bu yeni tehdit düzeyine gore güncellemelidir.

Kritik Altyapı Korunması

Enerji, bankacılık, sağlık ve ulaşım sektörlerinde faaliyet gösteren Türk kurumları, küresel yazılım tedarik zincirinin parçasıdır. Glasswing kapsamında tespit edilen zafiyetler—Linux kernel, FFmpeg, OpenBSD gibi yaygın kullanılan bileşenlerde—doğrudan Türkiye’deki sistemleri de etkilemektedir.

🏢

Bankacılık & Finans

BDDK BİGR uyumu, SWIFT altyapısı, internet bankacılığı uygulamaları. JPMorganChase’in Glasswing’e katılımı, finans sektörü için referans teşkil ediyor.

Enerji & Altyapı

SCADA/ICS sistemleri, enerji dağıtım altyapısı. Colonial Pipeline benzeri senaryoların Türkiye versiyonu, AI destekli saldırılarla cok daha olasıdır.

Havacilik & Savunma

EASA Part-IS, SHGM SHT-IS uyumluluğu. Tedarik zinciri boyunca yazılım zafiyet yönetimi kritik öneme sahip.

Üçüncü Taraf Risk Yönetimi (TPRM) Boyutu

Glasswing, tedarik zinciri güvenliğinin yeni boyutunu gösteren bir projedir. Türkiye’deki büyük kurumlar—özellikle THY, bankalar ve enerji şirketleri—tedarikçi denetimlerinde artık su sorulari sormalıdır:

TPRM Güncellemesi Gereken Sorular:
• Tedarikçiniz, kullandigi açık kaynak bileşenlerin bilinen zafiyetlerini düzenli olarak taratıyor mu?
• Yazilim geliştirme yaşam döngüsünü (SDLC) AI destekli güvenlik taramasi içeriyor mu?
• Kritik zafiyetler için ortalama yama süresi (MTTR) kac gundur?
• Tedarikçi, AI modellerinin kendi yazılımlarına yonelik potansiyel tehditlerini değerlendirmiş midir?
• Üretken AI araçlarıyla paylasılan verilerin kapsamini biliyor ve kontrol ediyor mu?

ISO 27001 ve AI Tehditleri

ISO 27001:2022 çerçevesi, risk değerlendirmesinde “tehdit istihbaratı” girdisini gerektirir (A.5.7). AI destekli saldırı yeteneklerinin hızlı evrilimi, risk kayıtlarının güncellenmesini zorunlu kılmaktadır. Annex A kontrol 8.8 (Teknik Zafiyetlerin Yönetimi), artık AI tabanlı zafiyet tarama araçlarının değerlendirmeye alınması gereken bir döneme girmiştir.

09 CISO’lar ve Güvenlik Yöneticileri İçin Çıkarımlar

Project Glasswing’in ortaya koyduğu gerçekler, her ölçekteki kurumun bilgi güvenlik yöneticileri için somut eylem maddeleri içeriyor:

1. Risk Kayıtlarını Güncelleyin

AI destekli saldırı senaryolarını risk değerlendirmelerinize ekleyin. Tehdit profilleri köklü sekilde değişti.

🕒

2. Yama Sürelerini Kısaltın

Zafiyet-exploit arasi sure dakikalara indi. Kritik yamalarda 72 saat bile uzun olabilir.

🔬

3. AI Tabanli Tarama Değerlendirin

Geleneksel SAST/DAST araçları yeterli olmayabilir. AI destekli zafiyet tarama çözümlerini planlayın.

🔗

4. Tedarik Zinciri Denetimini Sıklaştırın

Tedarikçi yazılım bileşenleri (SBOM) görünürlüğünü artirin, açık kaynak bağımlılık analizini zorunlu kilin.

🎓

5. Farkındalık Eğitimlerini Yenileyin

Çalışanlara AI destekli sosyal mühendislik, deepfake ve otonom saldırı senaryolarını anlatın.

🛠

6. SDLC’yi Güçlendirin

Secure-by-design prensiplerini benimseyin. AI destekli kod incelemesi, CI/CD pipeline’a entegre edilmeli.

Gelecek Adım: Anthropic, güvenlik profesyonellerinin meşru çalışmaları için yaklaşan bir Siber Dogrulama Programi (Cyber Verification Program) duyurdu. Bu programdan faydalanmak isteyen güvenlik uzmanları başvuru yapabilecek.

10 Sonuç ve Öneriler

Project Glasswing, siber güvenlik tarihinde bir dönüm noktasıdır. Yapay zeka modellerinin güvenlik açığı bulma ve istismar etme yetenekleri, artık teorik değil—kanıtlanmış ve somuttur. 27 yıllık OpenBSD açıkları, 5 milyon testi geçen FFmpeg hatalari ve Linux kernel exploit zincirleri, insan güvenlik incelemesinin sınırlarını çarpıcı sekilde göstermektedir.

Ancak asıl önemli mesaj iyimserdir: aynı yetenekler savunma için de kullanılabilir. 12 kurucu ortakin bir araya gelmesi, 100 milyon dolarlik kaynak taahhüdü ve 90 gun içinde kamuya açık raporlama sözü, sektörel işbirliğinin müşterek bir yanit oluşturabileceğini göstermektedir.

Türkiye’deki Kurumlar İçin Öncelikli Eylem Maddeleri

Kisa Vade (0-3 Ay)
Risk Değerlendirmesi Güncellemesi
AI destekli saldırı senaryolarını risk kayıtlarına ekleyin. KVKK teknik tedbirlerini gözden geçirin. Açık kaynak bağımlılık envanterini çıkarın.
Orta Vade (3-6 Ay)
Operasyonel Adaptasyon
AI tabanlı zafiyet tarama araçlarını değerlendirin. TPRM soru setlerini AI tehditleriyle güncelleyin. SDLC’ye otomatik güvenlik kapilari ekleyin.
Uzun Vade (6-12 Ay)
Stratejik Dönüşüm
AI destekli güvenlik operasyon merkezi (SOC) vizyonu geliştirin. Tedarik zinciri boyunca SBOM zorunlulugu başlatın. ISO 27001 Ek A kontrollerini AI tehdit manzarasına gore revize edin.

Dünyanın siber altyapısını savunma çalışması yıllar alabilir; frontier AI yetenekleri ise önümüzdeki birkaç ay içinde önemli ölçüde ilerleyecektir. Savunucularin one geçebilmesi için şimdi harekete geçmek gerekmektedir.

Kaynak: Bu analiz, Anthropic’in 7 Nisan 2026 tarihli Project Glasswing duyurusuna (anthropic.com/glasswing) dayanmaktadır. İçerik, Secure Fors siber güvenlik danışmanlığı perspektifiyle yorumlanmıştır.

Secure Fors Siber Güvenlik

AI Çağında Kurumunuzun Güvenlik Durumunu Değerlendirin

TPRM denetimi, ISO 27001 danışmanlığı, AI yönetişimi ve zafiyet yönetimi konularinda uzman ekibimizle görüşün.

Ücretsiz Ön Değerlendirme Talep Edin
Sosyal medyada paylaş
Facebook
Twitter
LinkedIn
Telegram