Claude Mythos Preview neden Wall Street için bir uyarı

Anthropic’in Claude Mythos Preview’ı bir hisse seçici, kredi analisti veya işlem asistanı olarak tasarlanmadı.

Model, yapay zekânın daha rahatsız edici bir köşesinde oturuyor: siber güvenlik.

Anthropic, Mythos’un büyük işletim sistemleri ve tarayıcılar genelinde daha önce bilinmeyen yazılım açıklıklarını tespit edip bunları sömürebildiğini söylüyor.

Bankalar, varlık yöneticileri, sigortacılar, borsalar ve ödeme şirketleri için bu iddia verimlilikten çok daha hassas bir alana düşüyor.

Finans; ortak yazılımlar, bulut sağlayıcıları, ödeme altyapıları, veri sağlayıcıları ve on yıllık iç sistemler üzerinde çalışır.

Bir yapay zekâ modeli, kurumların yamalamasından daha hızlı zayıflıklar bulabiliyorsa, risk artık sadece bir teknoloji sorunu olmaktan çıkar. Piyasa güveni sorunu haline gelir.

Anthropic Mythos Preview’ı genel kamuya yönelik bir sürüm olarak konumlandırmadı.

Model kısıtlı erişimle ele alınıyor, ancak finans için önemli olan gösterdiği yetenek şudur: Yapay zekâ sistemleri, yazılım zayıflıklarını bulma ve bu zayıflıkları çalışan exploitlere dönüştürme konusunda hızlanıyor.

Finansal sonuçları olan bir siber model

İlk hata Mythos’u başka bir genel amaçlı yapay zekâ olarak değerlendirmek olur.

Tüketiciye yönelik sohbet botlarından ya da şu anda araştırma, uyum ve müşteri hizmetleri için test edilen yapay zekâ asistanlarından farklı olarak, Mythos önemlidir çünkü kurgu hızında açıklık keşfinin bir sonraki aşaması hakkında ne önerdiğini gösterir.

Anthropic, red-team testlerinin Mythos Preview’ın bir kullanıcı tarafından yönlendirildiğinde her büyük işletim sisteminde ve her büyük web tarayıcısında sıfır gün (zero-day) açıklıklarını tespit edip sömürebildiğini ortaya koyduğunu söyledi.

Bu herhangi bir sektör için çarpıcı olurdu, ancak finans için özellikle keskin bir etki yaratır.

Bankalar sadece web siteleri ve uygulamalar işletmez. Temel bankacılık sistemleri, işlem platformları, ödeme ağ geçitleri, risk motorları, müşteri veritabanları, bulut dağıtımları ve üçüncü taraf sağlayıcı bağlantıları da dahil olmak üzere büyük teknoloji varlıklarına sahiptirler.

Bu altyapının bir kısmı modern olabilir, ancak çoğu eski, yoğun şekilde özelleştirilmiş ve değiştirmesi zor.

Büyük kurumlarda yazılım bağımlılıklarının tam haritasını çıkarmak bile zor olabilir.

Açıklık keşfini hızlandıran bir model baskı dengesini değiştirir. Savunucular zayıf noktaları daha erken bulabilirler.

Ancak saldırganlar benzer yeteneklere erişirlerse, keşif ile sömürü arasındaki süreyi kısaltabilirler.

Bu merkezi ikilem budur: Mythos finansal sistemi güçlendirebilir, fakat yalnızca savunucular bulguları saldırganlardan daha hızlı özümsüp harekete geçebilirse.

Tahminin ucuzlaması

University of Toronto Rotman School of Management’tan profesör ve Prediction Machines ile Power and Prediction kitaplarının ortak yazarı Ajay Agrawal, gelişmiş yapay zekâ ajanlarının etkisinin karmaşık analiz üretmenin daha ucuz bir yolu olmasının ötesinde, karar verme ekonomisinde bir kayma olarak görülmesi gerektiğini Invezz'e söyledi.

Bu çerçeve Mythos için faydalıdır, çünkü modelin en görünür yeteneği yatırım analizi değil, siber alandır.

Eğer açıklık keşfi ucuzlarsa, güvenlik ekipleri daha fazla bulgu, daha fazla önceliklendirme işi ve neyin en önemli olduğuna dair daha fazla kararla karşılaşacaktır.

Kıt kaynak artık bir kusuru fark etme yeteneği değil, hangi kusurun en önemli olduğunu değerlendirme yeteneği olabilir.

Başka bir deyişle, finans sektöründeki darboğaz tespitten sorumluluğa kayabilir.

Yamalama sorunu gerçek baskı noktası

Finans kurumları zaten siber güvenliğe yoğun harcama yapıyor, ancak sorun iş modellerinin yapay zekâ araçlarının çok daha hızlı ciddi güvenlik bulguları ürettiği bir dünyaya yetişip yetişemeyeceğidir.

Bir açıklık bulunması, sorunun çözüldüğü anlamına gelmez.

Öncelikle ekiplerin kusurun kendi sistemlerini etkileyip etkilemediğini kontrol etmesi gerekir. Mühendisler bunu test etmeli, risk ekipleri maruziyeti değerlendirmeli ve iş birimleri düzeltmenin kritik hizmetleri aksatıp aksatmayacağını anlamalıdır.

Satıcıların da güncelleme yayınlaması gerekebilir ve düzenleyicilerin bilgilendirilmesi gerekebilir. Bazı durumlarda, yamanın kendisi yeni operasyonel riskler yaratabilir.

Bu iş akışı yavaştır çünkü bankacılık teknolojisi temiz bir laboratuvar değildir. Çevrimiçi kalması gereken yaşayan bir sistemdir.

Mythos’un tanıtımı, keşif tarafının daha hızlı ve daha ucuz hale geldiği; ancak iyileştirme tarafının insan, yönetişim, eski mimari ve düzenleyici beklentilerle kısıtlı kaldığı bir geleceği işaret ediyor.

Büyük bankalar hızlı yanıt vermek için para ve personele sahip olabilir. Daha küçük bankalar olmayabilir.

Büyük bulut sağlayıcıları bir sorunu hızlıca düzeltebilir, ancak önemli bir arka ofis sistemini destekleyen küçük bir satıcı çok daha uzun sürebilir.

Bu, en zayıf noktanın bankanın içinde olmayabileceği anlamına gelir. Dış bir sağlayıcıda olabilir, ancak itibar zararını çeken banka olur.

IMF neden finansal istikrar riski görüyor

Uluslararası Para Fonu tartışmayı kurumsal siber hijyenin ötesine taşıdı.

IMF, yapay zekâ destekli siber araçların özellikle kurumların ortak yazılımlara ve paylaşılan hizmet sağlayıcılara bağımlı olduğu yerlerde finansal istikrar risklerini artırabileceği konusunda uyardı.

Finans kuruluşları bilançoların ötesinde bağlantılıdır. İşletim sistemleri, bulut altyapısı, ödeme sistemleri, piyasa altyapıları, mesajlaşma ağları, veri akışları ve yazılım satıcıları üzerinden bağlıdırlar.

Geniş çapta kullanılan bir bileşende tek bir sömürülen zayıflık, yerel bir teknoloji arızası gibi davranmaktan çok ortak bir şok gibi davranabilir.

Tehlike sadece bir bankanın hacklenmesi değildir. Tehlike birçok kurumun aynı anda aynı maruziyeti paylaştığını keşfetmesidir.

Bu senaryoda siber risk likidite riski, piyasa riski ve güven riski haline gelebilir.

IMF’nin belirttiği gibi hâlâ tamponlar var: gelişmiş yapay zekâ siber yetenekleri henüz yaygın değil ve kapalı, sektöre özel finansal yazılımlar açık kaynak altyapıya göre hedef alınması daha zor olabilir.

Ancak yetenekler yayıldıkça, modeller geliştikçe ve saldırganlar kamuya açık bilgiyi otomatik araçlarla birleştirmeyi öğrendikçe bu korumalar zayıflayabilir.

Düzenleyiciler endişeden eyleme geçiyor

Avrupa Merkez Bankası operasyonel dayanıklılığı bankacılık tartışmasının merkezine yeniden koymak için hızlı hareket etti.

ECB Yönetim Kurulu üyesi ve Denetim Kurulu başkan yardımcısı Frank Elderson, sınır yapay zekâ modellerinin saldırganlar için engelleri düşürerek ve sömürü hızını artırarak siber tehdit manzarasını değiştirdiği konusunda uyardı.

ECB ayrıca bankaların dar bir teknoloji çözümünden ziyade insan, sistem ve yönetişim için çok yıllı yatırımlara ihtiyaç duyduğunu belirtti.

Elderson’un mesajı açıktı:

Bu ayrım önemlidir çünkü düzenleyiciler Mythos’u panik yaratan bir olay olarak görmüyor; daha çok uzun süredir var olan siber zayıflıkların daha hızlı düzeltilmesi gerektiğinin kanıtı olarak değerlendiriyorlar.

Bankalar dayanıklılık çerçeveleri kurmak, siber stres testleri yapmak ve olay müdahalesini iyileştirmek için yıllar harcadı.

Ancak zayıflıkları daha hızlı bulup sömürebilen modellerin ortaya çıkması zaman çizelgesini değiştiriyor.

Saldırgan-savunmacı yarışı asimetrikleşiyor

Mythos hikayesinin rahatsız edici kısmı aynı yeteneğin her iki tarafın da işine yarayabilmesidir.

Savunucular için kodu denetleyebilen, açıklıkları bulabilen ve iyileştirmeyi önceliklendirmeye yardımcı olan bir model değerlidir.

Bankaların eski sistemleri taramasına, üçüncü taraf kodu gözden geçirmesine, dahili araçları test etmesine ve saldırganlardan önce zayıflıkları bulmasına yardımcı olabilir. Ayrıca nadir insan siber uzmanlarına olan bağımlılığı azaltabilir.

Ancak siber güvenlik tek taraflı bir mücadele değildir. Benzer yapay zekâ yetenekleri birkaç kontrollü laboratuvarın ötesine yayılırsa, saldırganlar da savunucular kadar hızlı fayda sağlayabilir.

Bankalar ve güvenlik ekiplerinin aksine, saldırganların tüm sistemi güvenceye alması gerekmez; yalnızca tek bir zayıf giriş noktası bulmaları yeterlidir.

Anthropic’in Mythos açıklaması yeteneğin önemini vurguluyor:

“Mythos Preview, her büyük işletim sisteminde ve her büyük web tarayıcısında sıfır gün (zero-day) açıklıklarını tespit edip ardından sömürebilme yeteneğine sahiptir.”

Bu, her saldırganın Mythos’a erişimi olduğu anlamına gelmez; Anthropic modeli kısıtlı ve kontrollü olarak çerçeveliyor.

Ancak eğilim bankaların plan yapması için yeterince açık.

Eski teknoloji için yeni bir risk primi

Mythos, finansı bir gecede güvensiz hale getirmez; zira sektör küresel ekonominin en sıkı düzenlenen ve siber farkındalığı yüksek parçalarından biridir.

Bankalar güvenliğe yoğun yatırım yaptı ve birçok banka dolandırıcılığı tespit etmek, tehditleri izlemek ve müşterileri korumak için hâlihazırda yapay zekâ kullanıyor.

Yine de model bir hız uyarısıdır.

Finans daha dijital, daha dış kaynaklı ve daha birbirine bağlı hale geldi; bu sistemin verimli olmasını sağladı ama aynı zamanda ortak başarısızlık noktaları yarattı.

Eğer yapay zekâ zayıflıkları bulup sömürme süresini kısaltırsa, eski yama döngüleri, yavaş satıcı süreçleri ve parçalanmış hesap verebilirlik daha tehlikeli hale gelir.

Kazananlar sadece en iyi modele erişimi olan firmalar olmayacak. Daha hızlı keşfi daha hızlı, daha güvenli kararlara dönüştürebilenler kazanacak.

Wall Street ve daha geniş finansal sistem için Mythos sadece bir siber hikâye değildir. Operasyonel dayanıklılığın finansal dayanıklılığa dönüşmesiyle ilgili bir hikâyedir.

Güvene dayalı bir piyasada, dijital stres altında çalışmaya devam etme yeteneği, bir bilançodaki zararları absorbe etme yeteneği kadar önemli hale gelebilir.