Hackerların yıllardır en çetin hedeflerinden biri olarak nitelendirdiği Apple, kelimenin tam anlamıyla bir kızıl elmaya dönüşmüş durumdaydı. Gizli servislerden, en azılı suç gruplarına kadar herkes Apple ürünlerindeki güvenlik açıklarını aşmak için amansız bir yarışa girmiş fakat başarılı olamamıştı. Wall Street Journal’ın özel haberine göre, bu durum değişmiş olabilir.
Palo Alto merkezli siber güvenlik şirketi Calif’ın araştırmacıları, Anthropic’in henüz yaygın kullanıma açılmamış yapay zekâ modeli Mythos’un Nisan ayındaki erken sürümünü test ederken keşfettikleri tekniklere dayanarak MacOS’un son teknoloji güvenlik mekanizmasını aşan bir sa
ldırı yöntemi geliştirdi.
Söz konusu yazılım, iki ayrı güvenlik açığını birbirine bağlayarak ve bir dizi tekniği bir arada uygulayarak Mac belleğini bozuyor; böylece cihazın normalde erişilemez olması gereken bölümlerine ulaşıyor. Siber güvenlik literatüründe “ayrıcalık yükseltme istismarı” (privilege escalation exploit) olarak bilinen bu yöntem, başka saldırılarla zincirlenmesi halinde bir saldırganın bilgisayarın denetimini tamamen ele geçirmesine olanak tanıyabilir.
Kolay Erişim
Apple’ın beş yıla yayılan güvenlik yatırımı
Geliştirilen istismarın özellikle dikkat çekici olmasının nedeni, Apple’ın MacOS’un güvenliğine ayırdığı kaynakların büyüklüğü. Şirket, geçtiğimiz Eylül ayında “yaklaşık beş yıla yayılan, benzeri görülmemiş bir tasarım ve mühendislik çalışmasının ürünü” olarak tanımladığı Memory Integrity Enforcement (MIE) teknolojisini duyurmuştu. Calif’ın çalışmasını inceleyen ve daha önce Google’da çalışmış olan bağımsız güvenlik araştırmacısı Michał Zalewski, bulguların önemini tam da bu bağlama bağlıyor: Apple, MacOS’u kilitleme konusunda olağanüstü bir çaba sarf etmişti.
Calif araştırmacıları, Claude’un yardımıyla iki MacOS açığını istismar eden saldırı kodunu yalnızca beş günde yazdıklarını belirtiyor.
Apple, raporu inceleyerek bulguları doğrulamaya çalıştığını duyurdu. Şirket sözcüsü konuya ilişkin şu açıklamayı yaptı.
Apple’ın da bu süreçte boş durmadığı, açıkları tespit edip yamamak için sınır yapay zekâ modellerini test ettiği aktarılıyor.
Saldırı nasıl gerçekleştirildi?
Calif CEO’su Thai Duong, geliştirilen istismarın tek başına Mythos tarafından üretilemeyeceğini ve sürecin şirketin deneyimli güvenlik uzmanlarının insan müdahalesini gerektirdiğini vurguluyor. Duong’a göre Mythos, daha önce belgelenmiş saldırıları yeniden üretme konusunda son derece başarılı; ancak bu durum modelin sınırlarını da gözler önüne seriyor.
“Mythos’un tamamen yeni saldırı teknikleri ürettiğini gördüğümüz vakalara henüz rastlamadık. Bu, kendi başına yeni bir durum.”
Zalewski ise Mythos’a yönelik şişirilen beklentilerin bir bölümünün “abartılı” olduğunu kabul etmekle birlikte, son nesil araçların “anlamlı güvenlik açığı araştırması ve kod denetimi” için kullanılabileceğini ifade ediyor.
Calif araştırmacıları, bulguları o kadar önemli buldu ki hafta içinde Palo Alto’dan Apple’ın Cupertino merkezine bizzat giderek istismar edilen açıkları detaylandıran 55 sayfalık raporu şirkete yüz yüze sundu. Calif, Apple açıkları yamadıktan sonra saldırının ayrıntılarını kamuoyuyla paylaşmayı planlıyor. Duong, açıkların görece hızlı kapatılacağını öngörüyor.
“Bugmageddon” yaklaşıyor
Calif’ın bulgusu, siber güvenlik dünyasında giderek büyüyen bir endişeyi de gün yüzüne çıkarıyor. Anthropic ve OpenAI gibi şirketlerin son aylarda piyasaya sürdüğü yapay zekâ modellerinin güvenlik açığı bulma kapasitesi öyle bir noktaya ulaştı ki birçok uzman, “Bugmageddon” olarak adlandırdıkları benzeri görülmemiş bir güvenlik açığı dalgasının yaklaştığı uyarısında bulunuyor. Bu durum hem yamaları hazırlamak zorunda kalacak teknik ekipler için ciddi bir iş yükü hem de eşi benzeri görülmemiş bir siber güvenlik riski anlamına geliyor.
Endişenin gerekçesi rakamlarda gizli: Anthropic’in yapay zekâsı bu yılın başlarında Firefox tarayıcısında iki haftalık bir sürede yüksek önem dereceli 100’ü aşkın güvenlik açığı tespit etmişti. Bu rakam, dünyanın geri kalanının iki ayda tespit ettiği açık sayısına denk geliyor.
ABD, Mythos’a erişimi kısıtlamak istiyor
Mythos’un kapasitesi yalnızca güvenlik araştırmacılarının değil, Washington’ın da gündeminde. Beyaz Saray, Anthropic’in Mythos’a erişimi kademeli olarak genişletme planlarına başlangıçta karşı çıktı. Yeni nesil yapay zekâ modellerinin gücüne ilişkin kaygılar, Trump yönetiminin yapay zekâ stratejisinde köklü bir değişikliğe yol açtı; idarenin yapay zekâ geliştirme sürecine yönelik daha önceki müdahale etmeme yaklaşımı yeniden değerlendirmeye alındı.
Federal yetkililer şu sıralar, en gelişmiş yapay zekâ modelleri üzerinde hükümete denetim yetkisi verecek bir başkanlık kararnamesini değerlendiriyor.
