Siber Muhbir

Bunlardan 14'ü yüksek, yedisi orta şiddet olarak sınıflandırılmış ve biri düşük şiddet olarak sınıflandırılmıştır. Bu sorunlar, geçen ayın sonunda yayımlanan Firefox 148'de ele alındı. Güvenlik açıkları Ocak 2026'da iki haftalık bir süre içinde tespit edildi.

Yapay zeka (YZE) şirketi, Claude Opus 4.6 büyük dil modeli (LLM) tarafından tespit edilen yüksek şiddetli hataların sayısının, 2025'te Firefox'ta yamalanan tüm yüksek şiddetli güvenlik açığının "neredeyse beşte birini" temsil ettiğini söyledi.

Anthropic, LLM'nin tarayıcının JavaScript'inde "sadece" 20 dakikalık bir keşiften sonra bir kullanım sonrası serbest hata tespit ettiğini, bunun ardından bir insan araştırmacı tarafından sanallaştırılmış bir ortamda doğrulanarak yanlış pozitif olasılığını ortadan kaldırdığını söyledi.

"Bu çabanın sonunda, yaklaşık 6.000 C++ dosyasını taradık ve yukarıda bahsedilen yüksek ve orta şiddetli güvenlik açıkları dahil olmak üzere toplam 112 benzersiz rapor sunduk," dedi şirket. "Çoğu sorun Firefox 148'de düzeltildi, geri kalanlar ise yaklaşan sürümlerde düzeltilecek."

Yapay zeka yenisi, Claude modeline Mozilla'ya gönderilen tüm güvenlik açığı listesine erişim sağladığını ve yapay zeka aracının onlar için pratik bir istismar geliştirmesini görevlendirdiğini söyledi.

Testi yüzlerce kez yapmasına ve yaklaşık 4.000 dolar API kredisi harcanmasına rağmen, şirket Claude Opus 4.6'nın güvenlik hatasını sadece iki durumda bir istismar haline getirebildiğini söyledi.

Şirket, bu davranışın iki önemli yönü işaret ettiğini ekledi: zafiyetleri tespit etmenin maliyeti, onlar için bir hais yaratmaktan daha ucuzdur ve model, sorunları sömürmekten çok daha iyi bulur.

"Ancak, Claude'un birkaç durumda bile olsa otomatik olarak kaba bir tarayıcı sömürüsü geliştirebilmesi endişe verici," diye vurguladı Anthropic, bu istismarların yalnızca test ortamı sınırları içinde işlediğini ve bazı güvenlik özelliklerinin, örneğin sandboxing'in kasıtlı olarak kaldırıldığını ekledi.

Sürece dahil edilen kritik bir bileşen, istismarın gerçekten çalışıp çalışmadığını belirlemek için bir görev doğrulayıcısıdır; bu da aracın ilgili kod tabanını araştırırken gerçek zamanlı geri bildirim vermesini sağlar ve başarılı bir istismar geliştirilene kadar sonuçlarını yinelemesine olanak tanır.

Claude'un yazdığı bu istismarlardan biri, JavaScript WebAssembly bileşeninde tam zamanında (JIT) bir yanlış derleme olarak tanımlanan CVE-2026-2796 (CVSS puanı: 9.8) içindi.

Bu açıklama, şirketin zayıflıkları bir yapay zeka ajanı kullanarak düzeltmek için sınırlı bir araştırma önizlemesinde Claude Code Security'yi piyasaya sürmesinden haftalar sonra geldi.

"Bu testleri geçen tüm ajan tarafından oluşturulan yamaların hemen birleştirilebilecek kadar iyi olduğunu garanti edemeyiz," dedi Anthropic. "Ancak görev doğrulayıcıları, üretilen yamanın belirli bir zafiyeti düzelteceğine ve program işlevselliğini koruyacağına dair artan güven sağlıyor—ve böylece makul bir yama için asgari gereksinimi karşılayacak."

Mozilla, koordineli bir duyuruyda, yapay zeka destekli yaklaşımın 90 başka hata keşfettiğini ve bunların çoğunun düzeltildiğini söyledi. Bunlar, fuzzing yoluyla geleneksel olarak bululan sorunlarla örtüşen iddia başarısızlıklarından ve fuzzerlerin yakalayamadığı farklı mantık hata sınıflarından oluşuyordu.

"Bulguların ölçeği, sürekli iyileştirme için titiz mühendisliği yeni analiz araçlarıyla birleştirmenin gücünü yansıtıyor," dedi tarayıcı üreticisi. "Bunu, büyük ölçekli, yapay zeka destekli analizin güvenlik mühendislerinin araç kutusuna güçlü bir yeni katkı olduğuna dair açık bir kanıt olarak görüyoruz."

Diğer haberlerimiz hakkında daha fazla bilgi için Twitter sayfamızı, Instagram sayfamızı ve LinkedIn sayfamızı takip etmeyi unutmayın.