Mythos, curl'de bir güvenlik açığı buldu

 (daniel.haxx.se)
2 puan yazan GN⁺ 3 시간 전 | 2 yorum | WhatsApp'ta paylaş
  • Anthropic Mythos, curl için 5 güvenlik açığı bildirdi ancak gerçekte yalnızca 1 tanesi kaldı
  • curl güvenlik ekibinin incelemesi sonucunda 3 tanesi yanlış pozitif, 1 tanesi ise sıradan bir hata olarak sınıflandırıldı
  • Doğrulanan güvenlik açığı, düşük önem derecesine sahip bir CVE ve haziran sonlarında curl 8.21.0 ile birlikte açıklanması planlanıyor
  • Raporda yaklaşık 20 hata yer aldı ve curl ekibi uygun bulduğu maddeleri düzeltiyor
  • Daniel Stenberg, yalnızca curl sonuçlarına bakıldığında Mythos'un özellikle tehlikeli düzeyde olduğuna dair kanıtların zayıf olduğunu düşünüyor

Anthropic Mythos'un curl'e erişim yolu

  • Anthropic, 2026 Nisan'ında yeni yapay zeka modeli Mythos'un kaynak koddaki güvenlik kusurlarını bulmada “tehlikeli derecede iyi” olduğu sonucuna vararak büyük ilgi topladı
  • Anthropic, Mythos'u hemen herkese açmak yerine önce bazı şirketlere sınırlı olarak sunup kritik sorunları düzeltmeleri için zaman tanıma yolunu seçti
  • project Glasswing kapsamında Anthropic, Linux Foundation aracılığıyla “açık kaynak projelere” de en yeni yapay zeka modeline erişim hakkı verdi
  • Linux Foundation bu bölümü Alpha Omega ekibine devretti ve teklif curl'ün baş geliştiricisi Daniel Stenberg'e iletildi
  • Kullanım sözleşmesi imzalandı ancak gerçek erişim gecikti; sonunda Mythos erişimi olan başka biri curl'ü tarayıp analiz ettikten sonra raporu iletti

curl için zaten yürüyen AI güvenlik analizi

  • curl, Mythos raporundan önce de çeşitli yapay zeka tabanlı araçlarla analiz ediliyordu; ayrıca klasik statik kod analizörleri, zorlayıcı derleyici seçenekleri ve yıllardır süren fuzzing çalışmaları da kullanılmaya devam ediyordu
  • Başlıca AISLE, Zeropath ve OpenAI’s Codex Security curl kodunu yapay zeka ile inceliyordu
  • Bu araçların analizleri, son yaklaşık 8-10 ay içinde curl'e birleştirilen 200-300 hata düzeltmesine yol açtı
  • Yapay zeka araçlarının bildirdiği maddelerin bir kısmı gerçek güvenlik açığı olarak doğrulandı ve CVE olarak yayımlandı; sayılarının “muhtemelen 12'den fazla” olduğu belirtiliyor
  • GitHub Copilot ve Augment code da pull request incelemelerinde kullanılıyor; işaret edilen sorunların düzeltilmesine ve daha iyi kodun birleştirilmesine yardımcı oluyor
  • Yapay zeka incelemeleri insan incelemesinin yerini almıyor; ek bir gözden geçirme aracı olarak kullanılıp birleştirilen kodun kalitesini artırıyor
  • Güvenlik araştırmacıları da yapay zekayı geniş ölçekte ve etkili biçimde kullanıyor; bu yüzden yüksek kaliteli güvenlik raporları yoğun biçimde gelmeye devam ediyor
  • curl projesinde güvenlik en yüksek öncelik ve kusurları azaltmak için çeşitli yazılım mühendisliği ilkeleri ile süreçleri uygulanıyor
  • Kusur taraması, curl'ü güvenli tutmak için izlenen birçok adımdan yalnızca biri; curl kadar çok yazılım güvenliği yapan ya da daha ileri giden bir proje bulmak zor görünüyor

6 Mayıs 2026: Mythos'un ilk analiz sonucu

  • Mythos ile üretilen ilk kaynak kod analizi raporu, curl'ü iyileştirecek alanları ve düzeltilecek hataları bulmak için bir fırsat oldu
  • İlk tarama, curl'ün git deposu ve master dalındaki belirli yakın tarihli bir commit üzerinde gerçekleştirildi
  • Analiz kapsamı, src/ ve lib/ alt dizinlerindeki 178 bin satır koddu
  • Raporda, farklı yaklaşımlar ve yöntemlerle hangi kusurların aranmış olduğu ayrıntılı biçimde anlatılıyor
  • Raporun üst kısmında curl'ün “OSS-Fuzz, Coverity, CodeQL ve çeşitli ücretli denetimlerden” geçmiş, en çok fuzzing uygulanmış ve denetlenmiş C kod tabanlarından biri olduğu; bu yüzden HTTP/1, TLS ve URL ayrıştırmanın çekirdek yollarında bir şey bulmanın zor olacağı açıklanıyordu
  • Mythos da gerçekten bu çekirdek yollarda herhangi bir sorun bulamadı

curl kod tabanının ölçeği ve güvenlik geçmişi

  • curl, boş satırlar hariç şu anda 176 bin satır C kodundan oluşuyor
  • Kaynak kod toplam 660 bin kelime içeriyor; bu, İngilizce War and Peace romanının tamamından %12 daha fazla kelime demek
  • curl'ün üretim kaynak kodundaki bir satır, yazıldıktan sonra ortalama 4,14 kez yeniden yazılmış
  • Şu anda git master'da duran mevcut üretim kodu 573 farklı katkıcı tarafından yazıldı
  • Bugüne kadar curl git deposunda toplam 1.465 katkıcının önerdiği değişiklikler birleştirildi
  • curl şimdiye kadar 188 CVE yayımladı
  • curl, 20 milyardan fazla kurulumda yer alıyor
  • curl, 110'dan fazla işletim sistemi ve 28 CPU mimarisi üzerinde çalışıyor
  • curl; akıllı telefonlarda, tabletlerde, otomobillerde, TV'lerde, oyun konsollarında ve sunucularda çalışıyor

“Doğrulandı” denilen 5 güvenlik açığı aslında 1'e düştü

  • Mythos raporu, “Confirmed security vulnerabilities” başlığı altında 5 bulguya ulaştığı sonucuna vardı
  • curl güvenlik ekibi ayrıntıları birkaç saat inceledikten sonra, 5 bulgudan gerçekten doğrulanan güvenlik açığı sayısı yalnızca 1 olarak kaldı
  • Kalan 4 bulgudan 3'ünün, API belgelerinde zaten tanımlanmış sınırlara işaret eden yanlış pozitifler olduğu değerlendirildi
  • Geriye kalan 1 bulgu ise güvenlik açığı değil, sıradan bir hata olarak değerlendirildi
  • Doğrulanan tek güvenlik açığının düşük önem dereceli (severity low) bir CVE olması bekleniyor
  • Bu CVE'nin, bir sonraki curl sürümü olan 8.21.0 ile birlikte haziran sonunda yayımlanması planlanıyor
  • Açıklanmadan önce bu güvenlik açığının ayrıntıları paylaşılmayacak
  • Mythos raporunda güvenlik açığı olmadığı sonucuna varılan çeşitli hatalar da yer aldı ve curl ekibi katıldığı maddeleri tek tek inceleyip düzeltiyor
  • Raporda yaklaşık 20 hata iyi biçimde düzenlenmişti ve yanlış pozitif sayısı çok azdı
  • Bu rapor sayesinde curl gelişiyor olsa da, bulunanların miktarına bakıldığında daha önce kullanılan yapay zeka araçları daha fazla hata düzeltmesine yol açmıştı
  • Bu durum aynı zamanda ilk araçların daha çok ve daha kolay hataları önce bulmuş olmasını ve zaman içinde sorunlar düzeltildikçe yeni kusur bulmanın giderek zorlaşmasını da yansıtıyor
  • Hatalar küçük de olabilir büyük de; bu yüzden yalnızca sayıları karşılaştırmak her zaman adil değildir

Mythos özellikle “tehlikeli” düzeyde görünmüyor

  • Yalnızca curl analizinin sonucuna bakıldığında, Mythos etrafındaki büyük ilginin büyük ölçüde pazarlama olduğu sonucuna varılıyor
  • Mythos yapılandırmasının, önceki araçlara kıyasla sorun bulmada özellikle daha yüksek ya da daha gelişmiş bir seviyede olduğuna dair bir kanıt görünmüyor
  • Mythos biraz daha iyi olabilir, ancak kod analizinde kayda değer bir fark yaratacak kadar daha iyi görünmüyor
  • Bununla birlikte bu değerlendirme, curl gibi tek bir kaynak kod deposundan çıkan sonuçlarla sınırlı
  • Mythos'un başka hedeflerde çok daha iyi performans göstermesi ihtimali dışlanmıyor

AI kod analizörleri hâlâ çok güçlü

  • Yapay zeka tabanlı kod analizörleri, geçmişteki geleneksel kod analizörlerine göre kaynak koddaki güvenlik kusurlarını ve hataları bulmada belirgin biçimde daha üstün
  • Modern yapay zeka modellerinin tümü bu işe oldukça uygun ve zamanı ile deneme isteği olan kişiler güvenlik sorunları bulabiliyor
  • Yüksek kaliteli kaos gerçekten yaşanıyor
  • Henüz kaynak kodunu yapay zeka tabanlı araçlarla taramamış projelerin, bu kuşak araçlar sayesinde çok sayıda kusur, hata ve potansiyel güvenlik açığı bulma olasılığı yüksek
  • Bunu yalnızca Mythos değil, başka birçok yapay zeka aracı da sağlayabilir
  • Bir proje yapay zeka kod analizörleri kullanmıyorsa, bulunamamış kusurları saldırganların ve kötü niyetli aktörlerin keşfedip istismar etmesi için zaman ve fırsat bırakmış olur

AI analizörlerini mevcut analizörlerden ayıran noktalar

  • Yapay zeka analizörleri, yorumların kod hakkında söyledikleriyle kodun gerçek davranışı arasında fark olduğunda bunu saptayabiliyor
  • Genelde klasik analizörlerin çalıştırılamadığı platform ve yapılandırmalardaki kodu da inceleyebiliyor
  • Üçüncü taraf kütüphaneler ve API ayrıntılarını “bildiği” için yanlış kullanım ya da hatalı varsayımları tespit edebiliyor
  • curl'ün uyguladığı protokol ayrıntılarını da “bildiği” için, kodun protokol tanımını ihlal ediyor ya da onunla çelişiyor gibi görünen noktaları sorun olarak işaretleyebiliyor
  • Klasik analizörlerde sıkıcı ve zor olabilen kusur özeti ile açıklamaları çoğu zaman iyi şekilde üretebiliyor
  • Bulduğu sorunlar için yama üretip önerebiliyor, ancak bu yamalar genellikle %100 eksiksiz düzeltmeler olmuyor

Mythos raporunun ayrıntıları

  • Mythos raporu, bellek güvenliği açığı sayısının 0 olduğu sonucuna vardı
  • Metodoloji açısından bu inceleme, LLM alt ajanları kullanarak paralel dosya okuma yapan, manuel yönlendirilen bir analizdi
  • Kayda geçirilmeden önce tüm aday bulgular ana oturumda doğrudan kaynak kod incelemesiyle yeniden doğrulandı
  • CVE ve varyant avcılığı eşlemesi, curl'ün kendi vuln.json dosyası temel alınarak oluşturuldu
  • Otomatik SAST araçları kullanılmadı
  • Bu sonuç, curl'ün en çok fuzzing uygulanmış ve denetlenmiş C kod tabanlarından biri olmasıyla uyumlu
  • curl'ün savunma altyapısı, bu ölçekteki bir kod tabanında genellikle sonuç veren hata türlerini sistematik olarak kapatıyor
  • Savunma unsurları arasında sınırlı dynbuf, tüm sayı ayrıştırmalarında açık üst sınırlar kullanan curlx_str_number, taşma korumalı curlx_memdup0, CURL_PRINTF biçim dizgesi zorlaması, protokole özel yanıt boyutu sınırları ve pingpong için 64KB satır sınırı yer alıyor
  • Kapsam; tüm küçük protokolleri, tüm dosya ayrıştırıcılarını, tüm TLS backend doğrulama yollarını, HTTP/1·2·3, FTP'nin tüm derinliğini, mprintf, x509asn1, DoH, tüm kimlik doğrulama mekanizmalarını, içerik kodlamayı, bağlantı yeniden kullanımını, oturum önbelleğini, CLI aracını, platforma özel kodu ve CI·build tedarik zincirini kapsıyor

AI, mevcut hata türlerini yeniden buluyor

  • Yapay zeka araçları, zaten bilinen yaygın ve yerleşik hata türlerini buluyor; yalnızca bunların yeni örneklerini ortaya çıkarıyor
  • Bugüne kadar yapay zeka, tamamen yeni bir güvenlik açığı türü ya da daha önce görülmemiş bir zafiyet sınıfı raporlamadı
  • Yani yapay zeka güvenlik alanını bu anlamda baştan icat etmiyor
  • Buna rağmen, önceki tüm araçlardan daha fazla sorunu ortaya çıkarıyor

Kusur avı henüz bitmiş değil

  • Bu sonuçlar son hata keşfi ya da son rapor değil
  • O sırada da güvenlik araştırmacılarından şüpheli sorunlara ilişkin ek bildirimler gelmeye devam ediyordu
  • Yapay zeka araçları daha da gelişecek ve araştırmacılar mevcut yapay zekaya daha fazla sorun bulduracak yeni ve farklı prompt yöntemleri geliştirebilir
  • curl, gerçekten yeni sorun çıkmayana kadar Mythos ve diğer yapay zekalarla tekrarlayan taramaların sürmesini umuyor

İlgili okumalar

2 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Alıntı: “Bu model hakkındaki büyük heyecan dalgasının esasen pazarlama olduğu sonucundan başka bir sonuca varamıyorum. Bu kurulumun, Mythos öncesi araçlara kıyasla sorunları özellikle daha üst düzeyde ya da daha gelişmiş bir şekilde bulduğuna dair bir kanıt görmedim. Biraz daha iyi olabilir ama kod analizinde anlamlı bir değişim yaratacak kadar iyi görünmüyor”
    Bu alandaki rekabetin sert olduğunu ve işin içine açık ya da ince biçimde çok fazla pazarlamanın karıştığını herkese hatırlatıyor

    • Anthropic’in kendi modelinin daha ileri, daha iyi yapılmış olduğunu ve yapay zekanın bir tehdit olduğu için düzenleme gerektiğini, bunun da cevabının yalnızca kendileri olduğunu anlatmak için pazarlama kullanmasına şaşırmamak gerek
      Daha ciddi bakarsak, şimdiye kadar Mythos’un güvenlik odaklı kod analizi eklenmiş bir Opus’tan fazlası olduğuna dair pek sinyal görmedim. Yine de bu tür hataları otomatik olarak bulabiliyor olması, abartılı reklamı bir kenara bırakırsak, asıl daha önemli nokta
      Tespitlerin hata oranını merak ediyorum. Eğer %90’ı yanlışsa ve biz sadece pazarlamada kullanılabilecek örnekleri duyuyorsak bunun çok anlamı yok
    • Kabaca beklenen sonuç buydu ama büyük ipucu, mevcut LLM tabanlı araçların zaten geniş çapta denetlenmiş kod tabanlarında kullanılıyor olmasıydı
      Bu yüzden Anthropic’in pazarlaması abartılı olabilir ama zaten geriye çok az şey kalmıştı ve yazı da bunu söylüyor
      Bunun başka tür projelerde büyük bir ilerleme olup olmadığını söylemek zor ama bugün itibarıyla herkesin mevcut kod denetimleri için AI kod inceleme araçları kullanması gerektiği ve gerçekte herkesin bunu yapmadığı netleşiyor
    • curl iyi bir veri noktası değil. Var olan kod tabanları içinde en çok didiklenenlerden biri ve güvenlik test uygulamaları da çok sağlam
      Mythos’a benzeyen ama tamamen aynı olmayan modeller kullanan araştırmacıların da şimdiye kadar hata bildirmesi için bolca vakti oldu. Daniel’in, Mythos’un curl için oyunun kurallarını değiştiren bir araç olmadığı görüşü doğru olabilir ama neredeyse tüm diğer kod tabanlarında önkoşullar farklı. Asıl pazarlama belki de curl’ün olgunluğu konusundaki tevazusudur
    • Mozilla, Anthropic adına pazarlama mı yapıyor?
      Anthropic ile süren iş birliğimiz kapsamında, Claude Mythos Preview’un erken bir sürümünü Firefox’a uygulama fırsatımız oldu. Bu hafta yayımlanan Firefox 150 sürümünde, bu ilk değerlendirmede belirlenen 271 güvenlik açığı için düzeltmeler yer alıyor
      Bu yetenek daha fazla savunmacının eline geçtikçe, pek çok ekip ilk sonuçlar belirginleştiğinde bizim yaşadığımız aynı baş dönmesini yaşıyor. Böyle iyi korunmuş bir hedefte bu türden tek bir hata bile 2025 itibarıyla kırmızı alarm olurdu; bir anda bu kadar çok çıkınca, buna gerçekten yetişilip yetişilemeyeceğini durup düşündürüyor
      https://blog.mozilla.org/en/privacy-security/ai-security-zer...
    • Heyecanın büyük ölçüde pazarlama olması gayet mümkün
      Bir başka olasılık da curl’ün yeterince güvenli olması ve bu yüzden başka projelere göre bulunacak çok daha az şey kalmış olması

  • “Gerçekten inanılmaz derecede başarılı bir pazarlama etkinliği” sözüne katılıyorum. Anthropic iyi iş çıkardı
    Hollanda’daki küçük bir yarı-kamusal kuruluşun CISO’suna kadar ulaştı ve Mythos’la birlikte geleceği söylenen güvenlik açığı tsunamisi duyurusuyla biraz panik yaşadı
    Bu sayede yönetim kurulundan daha fazla bütçe ve öncelik aldım. İyi bir pazarlama korkusu boşa harcanmamalı

    • “Tsunami görünmüyor” görüşüne katılmıyorum. Firefox’ta 100’den fazla hata ve daha fazla açık kaynak proje var; ayrıca daha önce görülmemiş eski OpenBSD/Linux uzaktan kod çalıştırma açıkları ve Linux’un kendisinde sadece 2-3 hafta içinde birkaç yerel ayrıcalık yükseltme vakası çıktı
      Bu bana pazarlama korkusu gibi değil, yüksek kaliteli ve düşük yanlış pozitifli güvenlik açığı ifşalarında ani bir artış gibi görünüyor. Sanki birkaç yıllık yüksek kaliteli hata raporu sadece birkaç haftada hızla taranıyor
    • Anthropic aynı numarayı tekrarlayarak müşteri sempatisini hızla tüketiyor. Bana göre bu berbat bir pazarlama
      Bir şirketin genel LLM’lerin siber güvenlik tehdidini araştırması ile tartışmayı “yeni modelimiz çok güçlü” noktasına kaydırması tamamen farklı şeyler. Yapış yapış ve itici
    • Onun, curl’ün neredeyse sınırına kadar yazılım mühendisliğiyle parlatılmış olduğunu ayrıntılı biçimde anlattığını görüyoruz. Gerçekten kodların çoğunun bu kadar yüksek düzeyde cilalanmış olduğunu mu düşünüyorsunuz?

  • Bir AI ajanı bir yazılım aracında 0 hata bulduysa, bunu neden o AI ajanının hata bulmada pek iyi olmadığı şeklinde yorumlamak zorunda olalım?
    Ya gerçekten hata sayısı 0 ise?
    “5 sorun, çok daha geniş bir liste bekleyen bize hiçbir şey gibi geldi” beklentisi gerçeklikle uyuşmuyor olabilir. Ama bunun nedeni mutlaka Mythos’un yeteneğinin iddia edilenden düşük olması değildir. curl, mevcut haliyle pek fazla güvenlik açığı olmayan, iyi sertleştirilmiş bir araç olabilir

    • Yazının yazarı da kalan hatalar için aynı noktayı hesaba katmış
      “Bulunacak daha çok şey var. Bunlar bulunan ya da raporlanan son hatalar kesinlikle değil. Bu blog yazısının taslağını yazarken bile güvenlik araştırmacılarından şüpheli sorunlarla ilgili daha fazla bildirim aldım. AI araçları gelişecek ve araştırmacılar mevcut yapay zekanın daha fazlasını bulmasını sağlayacak yeni ve farklı istem yöntemleri keşfedebilir. Henüz sona gelmedik. curl taramalarını Mythos ve diğer AI’larla tekrar tekrar yürütmeye devam edip gerçekten artık yeni sorun bulunamayıncaya kadar sürdürmeyi umuyorum”
      Mantıklı. Geriye düzgün keşif olarak tam 1 tane kalmış olması ve bunun da Mythos’un çıkış anında tesadüfen sadece Mythos tarafından bulunmuş olması, diğer projelerin de o ana kadar tüm keşifleri hızla toplamış olması epey büyük bir rastlantı gerektiriyor. Mümkün ama kuşku duymaya başlarken en güvenli başlangıç noktası değil

  • curl’ün doğası gereği nispeten basit ve sınırları iyi çizilmiş bir araç olduğunu düşünmemek zor. İşletim sistemi, web tarayıcısı, veritabanı ya da milyarlarca dolarlık şirketlerin kod tabanlarıyla karşılaştırın
    Mythos/ChatGPT 5.5’ın, curl’de olmayan karmaşıklıklarda çok daha iyi olması belli ölçüde mantıklı. curl, “her şeyi yapabilen istemci” olarak çok fazla işleve sahip ama yine de güvendiğimiz diğer yazılımlardan birkaç büyüklük mertebesi daha az karmaşık

    • curl düşünüldüğünden çok daha karmaşık. Çoğu kişi onu sadece HTTP(S) uç noktalarını çağırıp çıktı veren bir komut satırı aracı olarak biliyor ama gerçekte neredeyse tüm dosya aktarım protokollerini destekliyor ve uzun süre çalışan süreçler için tasarlanmış bir kütüphane
      Uzun süre çalışan süreçler düşünülerek tasarlandığı için bağlantıları ve kaynakları ardışık hale getirmek ve yeniden kullanmak adına mümkün olan her türlü tekniği kullanıyor. Mevcut olay döngülerine entegre olabilmesi için asenkron API’leri de var
      Web tarayıcısı ya da veritabanı daha mı karmaşık? Elbette büyük ihtimalle öyle. Gerçekten çok büyük problemler çözüyorlar. Ama curl, onu kullanan çoğu uygulama kodundan kesinlikle daha karmaşık
    • Oldukça temel bir araç olduğuna katılıyorum ama yazının dediği gibi kod uzunluğu Savaş ve Barış’tan daha fazla. Bu ölçekte güvenlik açıklarının ortaya çıkması için hâlâ bolca alan var
    • Yazıdan alıntıyla: “curl, boş satırlar hariç şu anda 176.000 satır C kodu içeriyor. Kaynak kod 660.000 kelimeden oluşuyor; bu da Savaş ve Barış’ın İngilizce baskısının tamamından %12 daha fazla kelime demek”
      “curl, 20 milyardan fazla kurulumda yer alıyor. 110’dan fazla işletim sisteminde ve 28 CPU mimarisinde çalışıyor. Dünyadaki her akıllı telefon, tablet, otomobil, TV, oyun konsolu ve sunucuda çalışıyor”
      Buna basit ya da sınırları iyi çizilmiş demek zor. Çoğu işletim sistemi ya da web tarayıcısı bile otomobillerde veya TV’lerde çalışmıyor

  • “Özellikle tehlikeli değil” sonucu pek çıkmıyor gibi. Söylendiği gibi curl zaten mevcut tüm araçlarla derinlemesine analiz edilmiş durumda ve çoğu yazılım o seviyede değil

    • Ama Mythos, mevcut araçların zaten yapabildiği bir şeyi biraz daha iyi yapan bir araç olarak değil, bir devrim olarak pazarlanıyor
    • Mythos ya tehlikelidir ya da değildir. Buradaki tehlike anlamı da “mevcut araçların bulduğundan çok daha fazla güvenlik açığı buluyor” şeklinde kullanılıyor
      Mythos’un ek olarak bulduğu açık sayısı sadece bir ve x+1, x’ten çok daha büyük değil; dolayısıyla bu tanıma göre Mythos’un tehlikeli olmadığı sonucu çıkıyor
    • Doğru ama bu, Mythos’u diğer modellerle karşılaştıran bir hüküm değil mi?
      Eğer öyleyse yine de sonuç geçerli. “Çoğu yazılım” curl kadar analiz edilmiş değil; başka araçlarla ya da başka modellerle de edilmedi. Eğer o araçlar Mythos’a çok yakın sonuçlar verebiliyorsa, Mythos’u özel olarak tehlikeli görmek zor
    • “Özellikle tehlikeli değil” ifadesi bulunan güvenlik açıklarına dair değil miydi? Düşük ciddiyetin ne olduğunu en iyi onların bildiğini varsaymak gerekir
    • curl şu anda rekor düzeyde yüksek kaliteli hata/güvenlik açığı raporu alıyor. Bu, geçmişteki düşük kaliteli yığın saldırısından oldukça keskin biçimde farklı bir akış; yani bulunacak bir şey kalmadığı anlamına gelmiyor
      Bunların çoğu ya da büyük kısmı, AI araçlarının yardımıyla çalışan insan uzmanlar tarafından bulunmuş gibi görünüyor ama eğer Mythos gerçekten devrim niteliğindeyse bu tür sorunları tek başına bulabilmeli
      https://daniel.haxx.se/blog/2026/04/22/high-quality-chaos/, kaynak yazıda bağlantılanmış

  • “Doğrulanan tek güvenlik açığının düşük önem dereceli bir CVE olması bekleniyor ve haziran sonunda planlanan bir sonraki curl sürümü 8.21.0 ile birlikte açıklanacak” kısmı etkileyici
    İnsan hâlâ cURL’e giren kaliteyi ve rafineliği kavramakta zorlanıyor. O kadar iyi yapılmış ki insanlar neredeyse iki kez düşünmüyor; bunun kusursuz bir örneği

    • Kolay. Programlama dilinden bağımsız olarak commit edilen, incelenen ve birleştirilen her kod satırına yüksek kalite standardı uygularsan nelerin mümkün olduğunu gösteriyor
      Ama dibe doğru yarışın, ucuz dış kaynak kullanımının ve şimdi de LLM tabanlı kod üretiminin çağında, sorumluluk doğmadığı sürece çoğu şirket bu kaliteyle ilgilenmeyecek
    • Curl ve SQLite, doğru mühendislikle yapılıp sıkı test edilmiş “her şeyin” en sevdiğim örnekleri. Gerçekten felsefi bir tarafı var
      Bu projelerin katkı koşulları böyle bir sıkılığı gerektiriyor ve bakımcılar bu gerekliliği koruyor. Bunu mümkün kılan şey, yük taşımayan belgeler; yani proje kodu olmayan dokümantasyon. Einstein’ın düşünce deneylerinin GPS gibi somut projelere dönüşmesini ya da Descartes’ın her sorunun akılcı düşünceyle çözülebileceğine dair inancını hatırlatıyor
    • Bu kadar iyi yapılmış olmasına rağmen insanların sonunda curl ... | bash yapıp hiçbir sorun hissetmemesi ironik. Sonra da “tehdit modeli” gibi sözlerle geçiştiriyorlar
      Ben curl-bash yerine kriptografik olarak imzalanmış paket yükleyicisi kullanırım

  • Mythos etrafındaki heyecanın Anthropic pazarlamasının bir parçası olduğunu biliyorum ama çok iyi incelenmiş bir kod tabanında şu anda dikkate değer güvenlik istismarlarının olmaması ihtimali de yok mu?
    Hiçbir şey bulamamış olması tek başına olumsuz kanıt olmak zorunda değil. Özellikle diğer araçlar daha önce yüzlerce güvenlik açığını zaten tespit ettiyse. Şu an tamamen didiklenmiş gibi görünüyor

  • Pazarlama her zaman işin içindedir ve insanların pazarlamayı bağlamı içinde görebilmesi gerekir
    Ayrıca curl açık kaynak bir proje; nispeten küçük ama kritik, iyi bilinen ve her yerde kullanılan bir araç. Görüntü kütüphanelerini saymazsak, benim de ilk deneyeceğim hedeflerden biri curl ya da sudo, su, passwd gibi araçlar olurdu
    Mythos’un gerçekte ne yapabildiği hâlâ hiç bilinmiyor. 10 trilyon parametreli bir model, maliyet ve benchmark açısından ne anlama geliyor?
    Yine de LLM’ler bu tür sorunları bulmada insanlardan çok daha iyi olmaya yaklaşık yarım yıl önce başladıysa, bir noktada herkesin görmezden geldiği meseleyle yüzleşmemiz gerekecek. Bugün güvenlik taramalarına ek olarak LLM kullanmak gerekiyor ve bunu ciddiye almalıyız
    En kötü ihtimalle bile Anthropic’in pazarlamasını kullanarak bunun artık zorunlu olduğunu ve bir şeylerin değiştiğini söyleyebiliriz

    • “10 trilyon parametreli bir model, maliyet ve benchmark açısından ne anlama geliyor?” sorusuna göre, bana göre bu ölçekleme etkisinin S-eğrisinin üst kısmına ulaşıldığı anlamına geliyor
      Bu ölçekte bile araç belirgin biçimde daha iyi değilse, azalan getiriler bölgesine kesin olarak girilmiş demektir
    • “Mythos’un ne yapabildiği hâlâ hiç bilinmiyor” durumu kasıtlı. Yine de insanların onun ne yapabildiğine şimdiden inandığını düşünmek yeterli
    • “LLM’ler bu tür sorunları bulmada insanlardan çok daha iyi oldu” sözüne göz devirmemek zor. Genel amaçlı statik analiz araçları da onlarca yıldır belirli mekanik işlerde insanlardan daha iyiydi ve belirli mekanik işlerde insanlardan iyi olmak tek başına çok büyük bir şey ifade etmiyor
      Yeni ve ilginç olan, yazıda anlatıldığı gibi LLM’lerin tespit edebildiği potansiyel “bulanık hata” türleri. Örneğin yorumlarda anlatılanla kodun uyuşmaması, üçüncü taraf bir kütüphanenin alışılmadık biçimde kullanılması, kod ile uyguladığı protokolün uyumsuz olması ya da genel olarak garip göründüğü için birinin daha yakından bakması gereken kod parçaları. Bu, geleneksel hata ayıklama araç kutusundaki boşluğu dolduruyor ama onların yerini almamalı

  • Bana göre Mythos etrafındaki mesaj, en iyi güvenlik uzmanlarının ve en üst düzey dil/protokol/kod uzmanlarının uzmanlığını erişimi olan herkese ulaştırdığı yönünde
    Tehlike, savunmacılar bu düzey uzmanlığa erişmeden önce bu erişimi dünyaya yaymakta yatıyordu
    Curl her şeyin merkezinde olduğu için yıllardır güvenlik, protokol ve dil uzmanları tarafından inceleniyor. Mythos’un bir şey bulmuş olması ilginç ama bunun sadece pazarlama abartısı olduğu ve tehlikeli olmadığı anlamına gelmiyor
    Projelerin %99,99’unun curl kadar güvenli olmadığını varsayabiliriz. Açık kaynak ya da kapalı kaynak olması fark etmez. LLM’ler kapalı kaynak projeleri de memnuniyetle decompile edip inceleyecektir. Eğer bir proje fuzzing’den geçmediyse ve mevcut AI araçlarıyla uzmanlar tarafından gözden geçirilmediyse, şimdiden kırılabilir olduğunu varsaymak gerekir. Bu, mevcut araçlarla bile böyle ve Mythos benzeri şeyler bu tür yetenekleri daha az uzmanlığa sahip daha geniş bir kullanıcı kitlesinin erişimine açıyor

    • Katılıyorum. Anthropic hiçbir zaman insanüstü performans iddia etmedi; iddia ettikleri şey hız ve ölçekti
      İyi araştırılmış yazılımlarda çok sayıda yeni açık bulunamaması, genel olarak tehlikeli kötüye kullanım potansiyeli hakkında hiçbir şey söylemiyor

  • “curl, mevcut C kod tabanları içinde en fazla fuzzing uygulanmış ve denetlenmiş olanlardan biri. OSS-Fuzz, Coverity, CodeQL ve çeşitli ücretli denetimler yapıldı. HTTP/1, TLS ve URL ayrıştırmanın sıcak yollarında bir şey bulmak zor” şeklinde okunuyor
    Bu ifade, sanki LLM denedi ve başarısız oldu demekten çok, daha en baştan denemekten vazgeçmiş gibi geliyor. Claude’un, özellikle zorlamazsan kendi kendine sık sık böyle yaptığını gördüm; burada gerçekte ne olduğunu merak ediyorum
 
GN⁺ 3 시간 전
Lobste.rs görüşleri

  • Tek başına bakınca çok şaşırtıcı görünmeyebilir, ama bu sonucu daha çok şöyle okumak gerek gibi: “önceki modeller çıktıktan sonra neredeyse her gün saldırıya uğrayan ve en çok incelenen uygulamalardan birinde tek bir çalıştırmayla bir güvenlik sorunu buldu”

    • “Sıradan statik kod analizörlerini sürekli çalıştırmak, en zorlu derleyici seçeneklerini kullanmak ve yıllarca fuzzing yapmak” başka yerlerde sanıldığından çok daha nadir yapılan şeyler
      Her şey yeniden yazılana kadar güvenliğin azaldığı ya da ortadan kalktığı karanlık bir döneme hazırlanmamız gerekebilir
    • LLM’lerin açık bulmada ustalaştığı doğru olabilir, ama curl’ün neden en çok denetlenen uygulamalardan biri olarak tanımlandığını anlamıyorum
      curl’ün bir bug bounty programı vardı ve bir miktar araştırmacı ilgisi çekti, ama bunun sonucu olarak Daniel AI kaynaklı çöp ihbarların altında da kaldı. Açık araştırması için, ister kamuya açık ister özel olsun, hiçbir zaman en üst düzey ilgi hedeflerinden biri olmadı
      “Burada ne yaparsan yap bulamazsın” kategorisine girmiyor; özellikle de hibeye benzer büyük ölçekli hesaplama kaynağı ayırabiliyorsanız hiç girmiyor
    • Açığın kendisi de düşük önem derecesinde
      Blog yazısına göre “teyit edilen tek açık, haziran sonu için planlanan bir sonraki curl 8.21.0 sürümüyle birlikte açıklanacak düşük önem dereceli bir CVE olacak” deniyor
      Ayrıca 4 yanlış pozitif olduğu da yazılmış

  • “Sonunda model erişimi olan başka birinin benim yerime Mythos ile curl taraması ve analizi yapıp raporu gönderebileceği önerisi geldi. Bu fark benim için çok önemli değildi. Zaten çeşitli prompt’ları deneyecek ve derine inecek fazla zamanım olmayacaktı.”
    Beklenenden azını veren abartı makinesini çalıştırırken tam da böyle davranırlar: “Bizimkini deneyin! Hayır, tam olarak siz kullanmayacaksınız. Onun yerine biz sizin için yapacağız!” ve arkada geleneksel, pahalı yöntem işler
    Bu kez gerçekten öyle miydi bilmiyorum, ama bu ihtimal göz ardı edilecek kadar küçük görünmüyor. Mythos’u kullanması için ulaşılıp da aslında Mythos’u kullanamayıp sadece sonuç alan başka kimler olduğunu merak ediyorum

    • Belki de sadece karaborsa bir açık satın alıp bunu Mythos bulmuş gibi sundular. O zaman bu, yapay zekanın ortaya attığı bir veri noktası olur
      Hatta bu keşiflerin çoğu, bakımcıların pek uğramadığı karanlık forumlarda zaten tartışılmış zayıflıklar olabilir
      Bu, yapay zekanın yazılımları daha güvenli hâle getiremeyeceği anlamına gelmiyor. Ama yapay zeka şirketleri kartlarını fazla saklarsa neyin gerçek olduğunu bilmek imkânsızlaşıyor
    • Anthropic hakkındaki mevcut görüşlerini doğrulamayan alternatif açıklamalar da arayıp aramadığını merak ediyorum

  • 3 ay önce bu kişinin sahnede, AI kaynaklı çöp ihbarlar yüzünden bug bounty programını kapattığını açıkladığını görmüştüm
    Araçların o kadar gelişip gelişmediğini ya da maddi teşvik ortadan kalkınca insanların gerçek açıklarla çöpleri ayırmaya daha çok zaman ayırıp ayırmadığını merak ediyorum

  • Mastodon’a bakınca bu tür sonuçlar doğrulama yanlılığını coşturmak için çok elverişli
    Ama doğrulama yanlılığını bir kenara bırakırsak, bunu genellemek için uygun görünmüyor. Yine de veri noktalarının kamuya açılması güzel

    • Bunun Mastodon genelinde ne kadar geçerli olduğunu bilmiyorum ama benim çevrem fazla AI karşıtı; deneyimli insanlar bile sadece işe yaramadığını göstermek için Claude sohbet arayüzüne bir GitHub bağlantısı atıyor
      Oysa bu araç öyle kullanılmaz. İnsanlara sonuçları göstermeye çalışsanız bile sadece başarısız örnekleri işaret edip gülmek istiyorlar; bu da gerçekten zor

  • Umarım bu tür yazılar daha çok çıkar
    curl’de sadece tek bir düşük önem dereceli açık çıkması cesaret verici, ama aynı zamanda sadece tek bir örnek. curl, diğer kritik kütüphanelere kıyasla daha olgun da olabilir

  • “Bütün dünya aklını kaçırmış gibiydi. Bu, bildiğimiz dünyanın sonu muydu? Kesin olan tek şey, bunun şaşırtıcı derecede başarılı bir pazarlama numarası olduğuydu.”
    Böyle bir üsluba ilgim yok. Açık düşünce ve sağlam akıl yürütme görmek isterim. Bunu iyi niyetle yorumlamak gerekir
    İyi kanıt ve muhakeme olmadan Glasswing’in bir “pazarlama numarası” olduğunu söylemek tahmindir. Sağlıklı kuşkuculuğu anlıyorum, ama sağlıklı kuşkuculuk kişinin kendisine de yönelmeli. Buna bu kadar emin olmayı sağlayan gerekçe nedir?
    Bir şey numaraysa bunun anlamı nedir? “Numara” kelimesini okuyunca kulağa manipülasyon niyeti varmış gibi geliyor. Niyet hakkında en doğrudan konuşabilecek kişiler “o odadaki insanlar”dır. Geri kalanlar en fazla tahmin yürütür; ama çok fazla insan tahminleri ciddiye bile almadan gerçekmiş gibi kesin konuşuyor
    Orada bulunmayan biri için kesin hüküm vermek yerine kendi akıl yürütmesini açıklamak daha akıllıca olur
    Teşvikler birçok yöne işaret ediyor. Safça bakmıyorum. Ciddi bir yazarın, okurun zekâsına ve dünyayı anlama isteğine saygı duymasını beklerim
    Bir alandaki uzmanın başka bir alana aşırı güvenle atlayıp hata yapması sık görülür. curl bakımcısının genel olarak, özellikle de kendi sürdürdüğü projenin konumu hakkında iyi epistemik standartlara sahip olduğunu varsaymamız için ne gerekçe var? İnsanların, bir makinenin kendisinden daha iyi olmasını istememek için çoğu zaman güçlü teşvikleri vardır. Mythos’un zaten o noktaya geldiğini söylemiyorum. O konuda hükmümü saklı tutuyorum. Ama sadece bu yazıda görülen akıl yürütmeye bakınca yazara hayran kalmak zor

    • Glasswing’in bir pazarlama numarası olduğunu söylemenin aceleci olduğu fikrine katılmıyorum. “Başarılı bir pazarlama numarası” cümlesinden hemen sonra gelenlere bakınca bunun adil bir eleştiri olduğunu düşünüyorum
      “Glasswing projesinin bir parçası olarak Anthropic, Linux Foundation üzerinden ‘açık kaynak projelerine’ de son AI modellerine erişim sağladı. Linux Foundation bu kısmı Alpha Omega projesine devretti ve onların temsilcileri benimle iletişime geçti. curl’ün baş geliştiricisi olarak bana sihirli model erişimi teklif edildi ve bunu memnuniyetle kabul ettim. Elbette curl’de neler bulunabileceğini görmek istiyordum.”
      Yazının tamamını okuyunca bende oluşan izlenim, yazarın Glasswing’in sadece bir pazarlama numarası olduğunu söylemediği; pazarlama numarası olarak kesinlikle başarılı olduğu ama bunun ötesine ne kadar geçtiğinin henüz belirsiz olduğu yönünde
      Alıntıdan sonraki yazının geri kalanı, bunun salt pazarlamanın ötesinde bir şeyler içerdiğini ve sonucun “hâlâ çok iyi” olduğunu söylüyor. Şimdiye kadar yapılan nefes kesici pazarlama abartısına yetişmese bile faydalı olma ihtimali yüksek denmek isteniyordu
    • OpenAI kısa süre sonra olağan yükseltme düzeni içinde yeni bir model sürümü yayımladı ve bu alanda benzer yetenek gösterdi, ama ortada kayda değer bir tantana ya da kargaşa yoktu
      Sadece GPT-5.5’ti. Bu açıdan bakınca, Mythos’un sözde tehlikeliliği nedeniyle gizlenmiş olması, güvenlik kullanım senaryolarına dikkat çekmek ve yeni talep yaratmak için kasıtlı bir tercih olmuş olabilir