EresusSecurity
Araştırmalara Dön
Security

Mythos, Makine Hızında Sömürü ve Kimlik Saldırı Yollarının Artan Önemi

Eresus Security Research TeamGüvenlik Araştırmacısı
9 Nisan 2026
8 dk okuma

Anthropic, Mythos'u ve onunla ilişkili sunum planını duyurduğunda, siber güvenlik dünyasında anında bir tartışma dalgası koptu. Bir gecede Reddit'ten X'e kadar tüm forumlar, iddia edilen içeriden bilgilerle, spekülasyonlarla ve yeni nesil modellerin hem saldırganlar hem de savunmacılar için siber güvenliği önemli ölçüde değiştirebileceğine dair endişelerle doldu.

Yıllar boyunca güvenlik ekipleri belirli bir ofansif sürtünme payını göz önünde bulundurarak çalıştı. Zafiyetleri bulmak zaman, bunları güvenilir exploitlere (sömürülere) dönüştürmek ise uzmanlık gerektiriyordu. Bu çalışmayı tekrarlanabilir bir erişime çevirmek daha da uzun sürüyordu. Tespit, önceliklendirme, yama yapma ve kontrol altına alma süreçlerinin tümü bu zaman aralığı içerisinde yarışıyordu.

Mythos ve genel olarak yapay zeka modellerindeki (OpenAI'ın Codex Security'si dahil) gelişmelerle birlikte, bu zaman aralığı hızla daralmaya devam ediyor. Artık eskisinden daha az çabayla faydalı ofansif işler yapabilecek aktörlerin sayısı artabilir. Bu durum, ilk erişimden sonra ne olacağı konusundaki baskıyı artırıyor.

Buradan çıkan pratik soru çok basit: Saldırgan içeri girdikten sonra nerelere ulaşabilir?

Bu soru, kimlik saldırı yolu yönetiminin merkezinde yer alıyor. Mythos, geçerli giriş noktalarının sayısını ve bir saldırganın kalıcı bir nokta oluşturma olasılığını artırabilir. Ancak, bu ilk adımın neye yol açacağını belirleyen şey, sistemin veya çevrenin yapısıdır.

İlk Erişimi Sağlamanın Maliyeti Düşüyor

Yeni nesil modellerin en belirgin sonucu, sistem ihlali maliyetindeki değişimdir.

Yapay zeka sistemleri gizli zafiyetleri geniş ölçekte açığa çıkarabilir ve sömürü sürecini hızlandırmaya yardımcı olursa, aynı anda birden fazla baskı artar:

  • Daha fazla zafiyet paralel olarak keşfedilebilir.
  • Daha fazla düğüm geçerli başlangıç noktası haline gelebilir.
  • Exploit iyileştirmeleri çok daha hızlı gerçekleşebilir.
  • Daha fazla aktör anlamlı ofansif çalışmalara dahil olabilir.
  • Savunmacılara zafiyetin keşfi, silahlaştırılması ve kullanılması arasında daha az zaman kalır.

Bu, savunmacıların operasyon koşullarını değiştirmek için yeterlidir. Her saldırganın yüksek derecede sofistike olmasını gerektirmez. Sadece eskisinden daha az zaman ve daha az uzmanlıkla anlamlı ofansif işler yapabilen daha fazla insanın olması yeterlidir.

Güvenlik ekipleri, önleme çalışmalarının bazen başarısız olacağını zaten biliyor. Buradaki asıl zorluk tempodur. Ofansif iş akışları hızlandıkça; yavaş doğrulama, yavaş yama yapma ve yavaş kontrol altına alma süreçleri çok daha maliyetli hale geliyor.

Zafiyetler ve Saldırı Yolları Farklı Katmanlarda Çalışır

Bir zafiyet tek bir soruyu yanıtlar: Saldırgan nereden içeri girebilir?

Saldırı yolu (attack path) ise başka bir soruyu yanıtlar: İçeri girdikten sonra nelere erişebilirler?

Bu ayrım önemlidir çünkü ikisi genellikle aynı tartışma içinde birleştirilir. Yeni sömürülebilir bir açık, iş açısından kritik bir etkiye giden bir yolu otomatik olarak yaratmaz. Sadece ortama girmek için başka bir yol açar. Bu girişin sonucu; kimlik ilişkilerine, izinlere, yetki devrine, güven yapılarına ve erişim ağının genel tasarımına bağlıdır.

İlk adım (foothold) ve yüksek etkili bir sistem ihlali birbiriyle bağlantılıdır ancak birbirinin yerine geçemez.

Bir İlk Adım Ancak Bağlam İçinde Anlam Taşır

Güvenlik ekipleri, ihlalleri hala genellikle bireysel sistemler açısından tanımlıyor:

  • Dizüstü bilgisayarda hassas veriler var mıydı?
  • Sunucu internete açık mıydı?
  • Uygulama iş açısından kritik miydi?
  • Zafiyet kritik miydi?

Bunlar faydalı sorulardır, ancak tek başlarına nadiren yeterlidirler.

Saldırganlar elde ettikleri o ilk noktadan itibaren dışa doğru yayılırlar. Menzillerini genişletecek bir sonraki kimliği, bir sonraki token'ı, bir sonraki güven sınırını ve bir sonraki ilişkiyi ararlar.

İlk erişimden sonra genellikle daha yararlı olan sorular şunlardır:

  • Hedef sistemde hangi kullanıcı veya servis kimlikleri var?
  • Hangi oturumlar aktif?
  • Önbelleğe alınmış hangi kimlik bilgileri, token'lar veya sırlar var?
  • Bu noktadan hangi devredilmiş haklar kullanılabilir?
  • Hangi otomasyon yollarına erişilebilir?
  • Hangi güven ilişkileri, bu sistemi daha önemli bir şeye bağlıyor?

İşte sıradan bir ihlal tam da bu noktada ciddi sonuçlar doğurur.

Bir iş istasyonundaki tarayıcı açığı, aktif bir bulut oturumunu ortaya çıkarabilir. Sınır hizmetindeki bir hata, saldırganın kurulum (deployment) kimlik bilgilerine sahip bir sisteme girmesini sağlayabilir. Bir platformdaki düşük yetkili bir kimlik, federasyon, senkronizasyon, devredilmiş yönetim veya iş yükü kimliği (workload identity) suistimali yoluyla başka bir platformdaki yönetici yetkisinin sadece bir veya iki adım uzağında olabilir.

Tüm bunlar olağandışı bir yapı gerektirmez; çoğu, standart kurumsal mimarilerden kaynaklanır.

Yapay Zeka Dünyasında, Hasar Alanını (Blast Radius) Kimlik İlişkileri Belirler

Modern işletmeler yalıtılmış sistemlerden ziyade kimlik ilişkileriyle şekillenir.

İnsan kimlikleri SaaS, bulut, dahili uygulamalar ve geliştirme platformları arasında hareket eder. İnsan olmayan (non-human) kimlikler iş yüklerini, ardışık düzenleri (pipelines), entegrasyonları ve otomasyonları çalıştırır. Servis hesapları sistemleri birbirine bağlar. Devredilmiş haklar, ekiplerin sınırlar ötesinde çalışmasına izin verir. Güven ilişkileri, bulut hizmetlerini, şirket içi altyapıyı ve üçüncü taraf platformları birbirine bağlar.

İşte bu yapı, saldırı yollarını yaratır.

İlk adım, aşağıdakilerden herhangi birinin yakınına düştüğünde çok daha değerli hale gelir:

  • Yönetici oturumları
  • Geniş izinlere sahip servis hesapları
  • Üretim sistemlerine bağlı iş yükü kimlikleri
  • Sırlar veya kaynak (artifact) kontrolü erişimi olan CI/CD sistemleri
  • Etki alanını platformlar arasında genişleten federasyon yolları
  • Bir kimliğin diğeri üzerinden eylem yapmasına izin veren devredilmiş roller

Kimlik riskinin katlandığı nokta burasıdır. Sorun sadece ortamda ne kadar kimlik olduğu değil, bu kimliklerin birbiriyle nasıl ilişki kurduğu ve saldırgana neleri birbirine zincirleme şansı sunduğudur. Hasar alanına (blast radius) tam da burada karar verilir.

Örneğin, ele geçirilmiş bir geliştirici uç noktası şu şekilde bir yol sağlayabilir:

  • Kaynak kod kontrolüne erişim
  • İş akışı (workflow) yürütülmesi üzerinde yetki
  • Bir bulut rolüne bürünme yeteneği
  • Üretim sistemlerine veya dağıtım dosyalarına erişim

Her adım kendi başına ele alındığında sıradan görünebilir. Yol, çevredeki ilişkiler hep birlikte modellendiğinde görünür hale gelir.

Zafiyetler Küreseldir, Saldırı Yolları Yereldir

Bu, problemi düşünmenin en faydalı yollarından biridir.

Zafiyet küreseldir. Yaygın olarak dağıtılan bir üründe bir hata varsa, o ürünün etkilenebilecek şekilde yapılandırıldığı her yerde zafiyet de mevcuttur.

Saldırı yolu ise yereldir. Belirli bir organizasyonun kimlikleri, izinleri, güveni, yetki devrini ve erişimi nasıl yapılandırdığından doğar.

Bu, iki kuruluşun aynı zafiyetle karşı karşıya kalabileceği ancak tamamen farklı risk seviyeleri yaşayabileceği anlamına gelir:

  • Bir ortamda ilk adım önemli hiçbir yere çıkmaz.
  • Diğerinde ise yönetici kontrolüne, üretim sistemlerine veya hassas verilere doğrudan ve verimli bir şekilde bağlanır.

Yapay zeka, küresel zafiyetlerin keşfini ölçeklendirir. Kimlik saldırı yolu yönetimi ise bu zafiyetlerin yerel sonuçlarını (etkilerini) belirlemeye yardımcı olur.

Bu ayrım, önceliklendirmeyi çok daha somut hale getirir. Soru sadece bir zafiyetin var olup olmadığı değil, bu zafiyetin mevcut ortamda nereye ulaşabileceğidir.

Bu Koşullarda Kimlik Saldırı Yolu Yönetimi Neden Daha Önemli?

Geleneksel kimlik kontrolleri hala önemlidir:

  • En az yetki prensibi (Least privilege)
  • Güçlü kimlik doğrulama
  • Erişim incelemeleri
  • Yetkilendirme ve yetki alma süreçleri (Provisioning/deprovisioning)
  • Sır yönetimi (Secret management)
  • Rol tasarımı

Bu kontroller, ortamı iyileştirir. Ancak tek başlarına ihlalin içeride nasıl yayılacağını göstermezler.

İlk adımı elde etmenin giderek ucuzladığı bu dönemde, kimlik saldırı yolu yönetimi daha da önem kazanan şu soruları yanıtlamanıza yardımcı olur:

  • Hangi kimlik ilişkileri kritik varlıklara gidiyor?
  • Hangi devredilmiş haklar gizli yetki yükseltme yolları oluşturuyor?
  • Hangi insan olmayan kimlikler orantısız bir yetki sağlıyor?
  • Hangi yollar küçük bir adımı, geniş bir kontrole dönüştürüyor?
  • Doğrudan yüksek etkili hedeflere bağlandıkları için hangi güvenlik açıkları önceliği hak ediyor?

Bu, operasyonel açıdan oldukça faydalıdır; çünkü savunmacıların izole bulgular veya açık sayılarından ziyade, ulaşılabilecek sonuçlara (hasar potansiyeline) göre önceliklendirme yapmasına izin verir. Eğer zafiyetlerin keşif hızı, bunları düzeltme hızını geçmeye başlarsa, bu tür bir önceliklendirme daha az değil, daha çok önem kazanır.

Yapay Zekanın Sonucu Değiştirmesi İçin Yeni Yollara İhtiyacı Yok

Buradaki daha önemli çıkarımlardan biri oldukça basittir: Ortamı daha tehlikeli hale getirmek için yapay zekanın zaten bilinen bir graf (ağ/kimlik haritası) içinde tamamen yeni bir yol oluşturmasına gerek yoktur.

Eğer bir yol halihazırda varsa:

  • Zaten geçerlidir.
  • Zaten ulaşılabilirdir.
  • Yetki yükseltmek veya hedefe ulaşmak için halihazırda işe yarar durumdadır.

Saldırganın daha fazla yaratıcılığa ihtiyacı yoktur. Saldırganın daha fazla başlama fırsatına ve eyleme geçmek için daha az zamana ihtiyacı vardır. Yapay zeka bu iki değişkeni de değiştirir. Zaten yüksek değere sahip mevcut yolların keşfedilme olasılığını artırır ve ilk erişimle hedef arasındaki zamanı kısaltır.

Bu, Mythos'un güvenlik etkisini düşünmenin faydalı bir yoludur. Modelin çevreyi daha tehlikeli hale getirmek için çevrenin yapısını baştan yaratmasına gerek yoktur. Sadece, mevcut maruz kalma durumlarının (exposures) kullanılmasını daha kolay hale getirmesi yeterlidir.

Kuruluşlar Şimdi Ne Yapmalı?

Savunma tarafındaki tepki, yapıya ve olası sonuçlara odaklanmalıdır.

Kuruluşlar şunları yapmalıdır:

  • Zafiyetin keşfi ile operasyonel düzeyde kullanılması arasındaki sürenin kısaldığını varsayın.
  • İnternete açık sistemler ve sınır güvenlikleri için doğrulama ve yama iş akışlarını gözden geçirin.
  • Sıradan erişimleri yüksek etkili hedeflere bağlayan kimlik ilişkilerinin haritasını çıkarın.
  • Gereksiz yetki (leverage) veren servis hesaplarını, iş yükü kimliklerini ve devredilmiş izinleri gözden geçirin.
  • Yalnızca bulgu (issue) sayısına değil, saldırı yollarına göre onarımlara (remediation) öncelik verin.
  • Bir ilk adımın yetkiyi yükseltmesini, kalıcı olmasını veya yayılmasını sağlayan rotaların sayısını azaltın.

Bu, bir saldırı gerçekleşmeden önce sızmayı (containment) iyileştiren bir çalışmadır. Tespit hala önemlidir. Müdahale hala önemlidir. İkisi de gerekli kalmaya devam edecek. Ancak ihlallerin daha hızlı ulaşabildiği bir ortamda, erişilebilir yetkileri azaltmak ve yüksek değere sahip saldırı yollarını ortadan kaldırmak çok daha önemli hale gelir.

Mythos'un Keskinleştirdiği Soru

Yeni nesil yapay zeka modelleri, ofansif döngülerin hızlandığına işaret ediyor ve bu da kurumsal savunmanın altında çalıştığı koşulları değiştiriyor. Bir zafiyetin keşfinden kullanılabilir bir erişime giden yol kısalabilir. Reaktif kontroller için ayrılan zaman daralabilir. Bu noktada belirleyici olan faktör, ilk adımın (foothold) etrafındaki çevredir: bundan sonra ne olacağını şekillendiren oturumlar, kimlikler, devredilmiş haklar, iş yükü kimlikleri ve güven ilişkileri.

İçeri atılan ilk adım tekil bir olaydır. Erişilebilirlik ise tamamen başka bir şey. O ilk adım etrafındaki kimlikler, oturumlar, devredilmiş haklar, iş yükü kimlikleri ve güven ilişkileri, saldırının yerel mi kalacağını yoksa sistem çapında mı yayılacağını belirler. Böyle bir ortamda, erişilebilir olan her yüksek değerli yolun hedeflenme olasılığının artık eskisinden çok daha yüksek olduğu gerçeğini kabul etmemiz gerekiyor.