İçindekiler
Bilgimize göre, Avrupa Birliği'nin hiçbir kurumu şu anda siber güvenlikte en gelişmiş yapay zeka modeli olan Project Glasswing'e operasyonel erişime sahip değil - oysa İngiltere Merkez Bankası, ABD Merkez Bankası ve ABD Hazine Bakanlığı bilgilendirildi. Anthropic, 7 Nisan 2026'da Claude Mythos Preview'u duyurdu, siber güvenlik nedenleriyle açıkça seçilen, kamuya açık olmayan ilk öncü model. Model, sıfır-gün açıklarını bağımsız bir şekilde keşfeder ve kullanır: ExploitBench (Carnegie Mellon/Bugcrowd, Mayıs 2026) kıyaslamasında, test edilen 41 CVE'den 21'inde keyfi kod yürütmeyi başardı, başka hiçbir kamuya açık model bir tanesini bile başaramadı. Erişim, AWS, Apple, Cisco, CrowdStrike, Google, JPMorgan Chase, Microsoft, NVIDIA, Palo Alto Networks, Broadcom, Linux Foundation ve Anthropic gibi on iki Amerikalı kurucu tarafından yönlendirilen yaklaşık 40 örgütten oluşan Project Glasswing koalisyonuyla sınırlı. Aynı tarihte hiçbir Avrupa kurumu buna erişime sahip değilken, Avrupa Merkez Bankası yalnızca bölgedeki bankaları risklere karşı uyarmak için çağırdı, eşdeğer bir brifing olmadan. Les Echos'un 27 Mayıs 2026'da bildirdiği gibi, Sia Partners'ın özel bir çalışması, modelin kötü niyetle yayılması senaryosuna dayalı olarak 100'e 1'lik bir saldırı avantajı öne sürüyor ve bu makale bu konuya geri dönüyor.
Ölçülebilir ama maliyetli bir teknik tekillik
Mythos'un kapasite farkı önce bağımsız kıyaslamalarda görülüyor. ExploitBench'te, testlerin tam çalıştırılması yaklaşık 36.428 dolara mal oldu; bu, GPT-5.5'in Codex üzerinden maliyetinin yaklaşık 3.075 dolar olduğu düşünüldüğünde, yaklaşık 12 katlık bir oran. Brüt maliyet, Mythos'u fırsatçı bir aktörün erişemeyeceği bir yerde konumlandırıyor, ancak kapasite farkı belgelenmiş durumda: kamuya açık olarak dağıtılmış sekiz modelden yalnızca GPT-5.5, güvenlik alanında tek bir WebAssembly hatası üzerinde kontrol akışı sapmasını başardı. Kurumsal red-teaming tarafında, İngiltere AI Security Institute sürekli bir hızlanma gözlemliyor: Kasım 2025'te kurum, siber kapasitelerin her sekiz ayda bir iki katına çıkacağını tahmin ederken, bu tahmini Şubat 2026'da 4.7 aya revize etti ve Mythos ile GPT-5.5 artık bu hızlanmış yolu aştı. Mythos, AISI'nin iki siber alanını tamamlayan ilk modeldir: bir uzman insanın çözmesi yaklaşık yirmi saat sürecek bir kurumsal ağ saldırı simülasyonunda on denemede altı başarı, ve 'Cooling Tower' endüstriyel simülasyonunda üçte on başarı. Bu rakamlara ek olarak, Anthropic, sistem kartında belgelenmiş ve %99'dan fazlası yayınlandığında yamalanmamış, binlerce sıfır-gün açığını özerk olarak keşfettiğini belirtiyor - üçüncü bir Avrupa tarafınca denetlenemez bir kapsamda.
Zaten dar bir uçurum: açık-ağırlık büyük bir boşluğu dolduruyor
Mythos'un tekilliği, stratejik önemi nispeten azaltan paralel bir hareketi gizliyor. Mayıs 2026'da arXiv'de yayınlanan bir makale, Qwen3.6-27B'nin tek bir A100 kartında %33'lük bir otomatik kopyalama başarısına ulaştığını gösteriyor, bu oran mevcut nesil GPT-5.4 ile eşit ve önceki neslin öncüsü Opus 4'ün %6'da ve GPT-5'in %0'da kaldığı seviyenin üzerinde. Model, bulut sağlayıcılar aracılığıyla saatlik 1 ila 2 dolar arasında bir maliyetle bir A100 üzerinde çalışıyor ve Epoch AI enstitüsünün RTX 5090 dönemi için belirlediği 40 milyar parametre sınırına sığıyor - dolayısıyla tüketici donanımına ulaşabilecek durumda. CISO tarafında yankı doğrulandı: İsviçreli danışmanlık firması InfoGuard'un, AISLE uzmanlaşmış organizasyonunun çalışmalarına dayanarak yaptığı bir analiz, test edilen sekiz açık-ağırlık modelinin Mythos'un üstünlüğünün kanıtı olarak sunulan FreeBSD başarısını yeniden ürettiğini gösteriyor, bunlardan biri yaklaşık 0.11 dolar maliyetle milyon token başına 3.6 milyar aktif parametre içeriyor. Kalan kapasite farkı, gerçek CVE'lerde keyfi kod yürütme gerektiren dar bir kapsamda yoğunlaşıyor. Bu fark üzerinde Sia Partners tarafından öne sürülen ve Les Echos tarafından açıklanan 100'e 1 avantajı inşa ediliyor - bu rakam, Mythos'un "kötü niyetli ellere verilmesi" ve karşısında neredeyse hiç savunma olmaması senaryosuna açıkça dayanıyor ve İngiltere AISI kurumunun kendisi tarafından "dünyanın en kötü kalecisine karşı bir saldırgan" olarak tanımlanıyor (serbest çeviri). Sia Partners ayrıca bu aynı gözleme dayanan, dokuz operasyonel eksen üzerinde AI siber tehdit haritalayan bir RSSI/DSI oyun kitabı satıyor, bu da Les Echos makalesinde belirtilmemiş bir çıkar çatışmasıdır.
Glasswing: Amerikan çevresi, asimetrik uyarılar
Daha önce belirtilen on iki kurucunun ötesinde, koalisyon InfoGuard'a göre JPMorgan Chase, Goldman Sachs ve bazı bulut ve OS sağlayıcıları gibi seçilmiş şirketleri savunma amaçlı birleştiriyor. Ekonominin geri kalanı buna erişime sahip değil. Uyarı dizisi bu kapsamı yansıtıyor: Anthropic, ABD Merkez Bankası, ABD Hazine Bakanlığı, Siber Güvenlik ve Altyapı Güvenlik Ajansı ve İngiltere Merkez Bankası'nı bilgilendirdi ve Hazine Bakanı Scott Bessent ve Fed Başkanı Jerome Powell, modelin belirli tehdidini işaret etmek için büyük bankaların CEO'larıyla acil bir toplantı düzenledi. Euro bölgesi tarafında, Avrupa Merkez Bankası bölgedeki bankaları risklere karşı uyarmak için çağırdı, ancak Anthropic'in İngiltere Merkez Bankası'na verdiği gibi bir brifing sunmadan. 28 Nisan 2026'da bir basın toplantısında, Komisyon sözcüsü Thomas Regnier, Avrupa kurumunun hala Project Glasswing'e erişimi olmadığını doğruladı ve "siber güvenlik endişelerinin ele alınması gerektiğini" ve şirketin "iyi niyetle diyalog kurduğunu" belirtti, ancak bir zaman çizelgesi taahhüt etmedi. 29 Mayıs 2026 tarihi itibarıyla, ne ANSSI ne de ENISA Mythos veya bu erişimi açabilecek değerlendirme prosedürü hakkında resmi bir duruş yayınlamadı - belgelenebilir bir sessizlik, Amerikan ve İngiliz kurumsal seferberliğiyle tezat oluşturuyor.
"100'e 1" iki birikimli koşula dayanıyor
Sia Partners tarafından hesaplanan asimetri şartlıdır: Mythos'a - bugün Project Glasswing altında yaklaşık kırk kuruluşa sınırlı - bir kötü niyetli aktörün erişim sağlamasını ve savunmanın neredeyse var olmayan bir seviyede kalmasını varsayar. İngiltere AISI, uzman hacker görevlerinde %73 başarı oranını doğruladı ve kendisi bile Mythos'un "neredeyse mevcut olmayan savunmalara karşı" test edildiğini belirtti - bir değerlendirici "dünyanın en kötü kalecisine karşı bir saldırgan" ifadesini kullanıyor. Uygun bir şekilde güçlendirilmiş üretim ortamında durum farklıdır. Ayrıca, Sia Partners bu aynı gözlem üzerine kurulu bir RSSI/DSI oyun kitabı satıyor, bu da eleştirel bir okuma unsuru olarak tutulması gereken doğrudan bir çıkar anlamına geliyor.
Kurumsal bir kırılma: ön dağıtım karşısında yasal yükümlülük
Mythos'a erişimdeki fark, öncü modellerin kontrolündeki gramerde okunabilen daha derin bir kurumsal kırılmayı uzatıyor. İngiltere AI Security Institute, yaklaşık 250 kişi ve Anthropic, Google DeepMind ve OpenAI ile resmi ortaklıklarla ön dağıtım red-teaming uygulamaktadır, böylece modellerin geniş yayılımından önce doğrudan anlık görüntülerini değerlendirebilir. Teknik direktörü Jade Leung, ayrıca İngiltere Başbakanının AI danışmanı, ResultSense'de 22 Nisan 2026'da (serbest çeviri) Mythos dahil test edilen her sistemde "açıklar bulduklarını" belirtti. Avrupa Birliği spektrumun diğer ucunda yer alıyor: aynı kaynağa göre, AI Act ve finans sektörü için DORA aracılığıyla kendi iç red-teaming kapasitesi yerine geliştiricilere yasal yükümlülükleri önceliklendirmiştir (serbest çeviri). Fransa, 2025'te INESIA'nın lansmanı ile değerlendirme egemenliğinde ilk adımı attı, ancak AISI'nin kapsamına kıyaslanabilir bir kapsamda değil. Bu dengesizlik, tüm partilerden Avrupalı milletvekillerini Project Glasswing'e Avrupa katılımını talep etmek ve sıfır güven mimarilerini hızlandırmak için Komisyon'un icra başkan yardımcısı Henna Virkkunen'e yazmaya itti. 27 Nisan 2026 tarihli mektup, Avrupa yasal çerçevesine karşı operasyonel altyapı talebini ortaya koyuyor - bu talep, sektörel kaynakların temelini oluşturan bir engelle karşılaşıyor. ENISA'ya göre, 2024'te AB'de siber güvenlik uzmanı açığı 299.000 pozisyona ulaştı, bu 2023'e göre %9'luk bir artış ve NIS kapsamındaki medyan siber güvenlik bütçesi 1,5 milyon euro - bu da Carnegie Mellon/Bugcrowd tarafından yayınlanan ExploitBench çalıştırma maliyeti ve bu bütçeye göre hesabımıza göre Mythos üzerinde yaklaşık kırk ExploitBench çalıştırması eşdeğeri.