Anthropic Project Glasswing: AWS, Apple, Google ve Microsoft açık kaynak güvenlik birliğinde

Anthropic Project Glasswing güncellemesi: AWS, Apple, Google ve Microsoft ile birlikte kritik açık kaynak kütüphanelerin AI ile güvenlik denetimi. Linux Foundation ve OpenSSF iş birliği yolda.

Kaan Dülgar · Kurucu ve Editör
Anthropic Project Glasswing: AWS, Apple, Google ve Microsoft açık kaynak güvenlik birliğinde

Anthropic, yazılım güvenliğini AI ile artırmaya yönelik Project Glasswing girişiminin ilk güncellemesini paylaştı. Projeye AWS, Apple, Google ve Microsoft dahil sektörün ağır topları katılıyor. Amaç: İnternetin altyapısını oluşturan kritik açık kaynak kütüphanelerinin (OpenSSL, libcurl, Linux kernel modülleri vb.) AI modelleri tarafından proaktif olarak taranması, sıfır gün açıklarının insan araştırmacıdan önce yakalanması. Anthropic, Google, Microsoft gibi normalde rekabet eden firmaların aynı masada toplanması nadir bir adım, sektörel anlamı büyük.

Hızlı bakış

Konu Detay
Proje adı Project Glasswing
Yönetici Anthropic
Büyük katılımcı AWS, Apple, Google, Microsoft
Hedef Kritik açık kaynak kütüphanelerini AI ile tarama
Tarama hedefleri OpenSSL, libcurl, Linux kernel, OpenSSH, Apache, nginx vb.
Birincil çıktı Sıfır gün açık tespiti (insan araştırmacıdan önce)
Potansiyel iş birlikleri Linux Foundation, OpenSSF
Yaklaşım Proaktif tarama (mevcut reaktif modelin tersine)
AI modeli Claude Opus 4.8 (büyük olasılıkla)

Niye bu kadar büyük bir adım?

İnternetin temel altyapısı açık kaynak yazılım üzerine kurulu. Sunucuların büyük çoğunluğu Linux koşturuyor; HTTPS bağlantılarının çoğu OpenSSL kütüphanesi kullanıyor; web sunucuları Apache ve nginx üzerinde çalışıyor. Bunlardaki bir açık:

  • Binlerce uygulamayı aynı anda etkileyebilir
  • Sıfırıncı gün istismarına dönüşebilir (kimse bilmiyor → saldırgan kullanıyor)
  • Tedarik zinciri saldırılarına yol açabilir (kötü amaçlı paket yayılır)
  • Sistemik krizler yaratabilir (örnek: 2014 Heartbleed)

Tarihsel kritik açık örnekleri:

  • Heartbleed (2014): OpenSSL'de buffer over-read → 500.000+ sunucuyu etkiledi
  • Shellshock (2014): Bash shell → milyonlarca Linux sunucusu
  • Log4Shell (2021): Apache Log4j → binlerce Java uygulaması
  • XZ Utils backdoor (2024): Linux dağıtımlarına neredeyse sızdı, son anda yakalandı

Bu olayların ortak özelliği: insan araştırmacıların yakaladıkları zaman çoğu sistem etkilenmişti zaten. Proje Glasswing'in vaadi, AI bunları önceden tespit etsin.

AI ajan güvenlik uyarısı yazımda ele aldığım CertiK CEO uyarısı ile bu proje yan yana yorumlanmalı: AI hem saldırı vektörü olabilir, hem savunma aracı. Glasswing ikinci tarafı temsil ediyor.

Niye Anthropic koordinatör?

Anthropic'in güvenlik kültürü sektörde tanınıyor. Şirket kuruluştan beri "AI safety" odaklı. Önceki güvenlik çalışmaları:

  • Constitutional AI, model davranışını anayasal kurallarla yönlendirme
  • Red-teaming, modellerini sistematik olarak kötü amaçlı kullanım için test
  • Claude Mythos modeli, dehşet verici performans nedeniyle kamuya açılmadı

Bu altyapı, Project Glasswing için doğal koordinatör pozisyonu sağlıyor. Diğer büyük firmalar (Google, Microsoft) güvenlik araştırması yapıyor ama Anthropic'in agnostik konumu, kendi platformları olmadan, koordinasyonu kolaylaştırıyor.

Anthropic AI duraklama çağrısı yazımda ele aldığım gibi şirketin güvenlik söyleminin samimiyeti tartışmalı olsa da, somut projelerde liderlik yapıyor.

"Rekabet eden firmaların aynı masada toplanması" niye nadir?

Genel olarak AI tarafında büyük şirketler rakip:

  • Anthropic vs OpenAI vs Google DeepMind, model satışı yarışı
  • AWS vs Microsoft Azure vs Google Cloud, bulut altyapı yarışı
  • Apple vs Google, mobil ekosistem yarışı

Bu rekabet bilgi paylaşımı yapmayı zorlaştırıyor. Ama açık kaynak güvenliği herkesin ortak sorunu, bir bankanın hacklenmesi, bir cihazın kötüye kullanılması tüm büyük şirketleri etkiliyor.

Bence Project Glasswing'in kurulabilmesi, sektörün güvenlik tarafında kollektif aksiyon alabilecek olgunluğa ulaştığının somut göstergesi.

Linux Foundation ve OpenSSF entegrasyonu

Project Glasswing'in çıktıları paylaşılırsa Linux Foundation ve OpenSSF (Open Source Security Foundation) ile entegrasyon mümkün. Bu, açık kaynak topluluğu için çok değerli.

OpenSSF zaten bir güvenlik girişimi, Google, Microsoft, GitHub, Intel gibi büyük şirketlerin katılımıyla 2020'de kuruldu. Project Glasswing'in onunla entegrasyonu, AI destekli güvenlik denetiminin açık kaynak ekosistemine kalıcı olarak girmesi anlamına gelir.

Burdan ne çıkarmalıyız?

Yazılım altyapısının büyük çoğunluğu açık kaynak temelli olan Türk şirketleri için bu işbirliği, patch yönetimi ve CVE takibi süreçlerini doğrudan etkileyebilir. Özellikle kritik sektörlerde:

Bankacılık:

  • Garanti BBVA, İş Bankası, Akbank, Yapı Kredi gibi büyük oyuncular
  • Core banking sistemleri çoğunlukla Linux + Java tabanlı
  • BDDK uyumlu güvenlik denetimleri için Project Glasswing çıktıları standart referans

Telekomünikasyon:

  • Turkcell, Vodafone, Türk Telekom, milyonlarca müşteri tabanı
  • Şebeke altyapısı, faturalandırma, müşteri yönetimi sistemleri

E-ticaret:

  • Trendyol, Hepsiburada, Getir, yüksek hacimli işlemler
  • Çok katmanlı mikroservis mimarisi, çok sayıda açık kaynak bağımlılığı

Kamu:

  • E-Devlet, e-Nabız, MEB sistemleri
  • Aselsan, Havelsan, TÜBİTAK BİLGEM güvenlik araştırmaları

7-Zip kritik güvenlik açığı yazımda ele aldığım gibi tek bir açık kaynak ürün açığı milyonlarca sistemi etkiliyor. Project Glasswing gibi proaktif tarama çalışmaları bu krizleri önlemeye yardımcı olabilir.

Pratik etkiler, ne zaman görmeye başlarız?

Proje henüz ilk güncellemede; somut çıktılar için 6-12 ay beklemek gerekiyor. Beklenen evrim:

1. Faz (2026 Q3-Q4): AI modellerinin OpenSSL, Apache, Linux kernel gibi temel altyapıları taraması 2. Faz (2027 H1): Tespit edilen açıkların koordineli açıklama ile yamalanması 3. Faz (2027 H2): OpenSSF entegrasyonu, yaygın kullanım 4. Faz (2028+): Tedarik zinciri saldırılarına karşı proaktif savunma standart hale gelir

AI güvenlik tarafında olgunlaşma

Project Glasswing, AI'ın siber güvenlik tarafında somut katkı üretebileceğinin göstergesi. Birkaç yıl önce "AI siber güvenliği hackleyecek" kaygısı vardı; şimdi AI siber güvenliği güçlendiriyor anlatısı paralel olarak güçleniyor.

büyük teknoloji şirketlerinin iş birliği yapma yeteneği önümüzdeki dönemde önemli olacak. AI Act, kuantum güvenlik, küresel siber saldırı tehditleri gibi konular tek başına çözülemez. Project Glasswing bu kolektif aksiyon kapasitesinin somut testi.

Kaynak: Anthropic, Project Glasswing güncellemesi

Haftalık özet bültenimize katıl

Teknoloji, yapay zeka, kripto ve borsadaki haftanın özetini Pazar sabahı e-postana gönderelim. Spam yok.