Anthropic tarafından geliştirilen yeni yapay zeka modeli Mythos, geleneksel teknoloji ve finans dünyasında endişe ve kafa karışıklığı yaratırken, kripto sektöründe de güvenlik anlayışında köklü bir değişimi tetikliyor.
Uzun süredir merkeziyetsiz finans (DeFi) ekosisteminde savunma önceliği akıllı sözleşmelere veriliyordu. Kodlar denetleniyor, açıklar kataloglanıyor ve yaygın saldırı yöntemleri iyi biliniyordu. Ancak sistemler arası zayıflıkları tespit edip zincirleme şekilde kullanabilen Mythos, odağı kodun ötesine, altyapı katmanına taşıyor.
Risk yönetimi şirketi Gauntlet’in güvenlik birimi lideri Paul Vijender, “Asıl büyük riskler altyapıda” diyerek, yapay zeka destekli tehditlerde akıllı sözleşme açıklarından ziyade insan ve altyapı katmanına yönelik saldırıların ön plana çıktığını belirtiyor.
Bu kapsamda anahtar yönetim sistemleri, imzalama servisleri, köprüler, oracle ağları ve bunları birbirine bağlayan kriptografik katmanlar öne çıkıyor. Bu bileşenler, akıllı sözleşmelere kıyasla daha az görünür ve çoğu zaman geleneksel denetim kapsamının dışında kalıyor.
Nitekim bu ay, birçok kripto şirketinin kullandığı web altyapı sağlayıcısı Vercel, müşteri API anahtarlarının açığa çıkmasına yol açabilecek bir güvenlik ihlali yaşandığını duyurdu. Bu gelişme, kripto projelerinin kimlik bilgilerini güncellemesine ve kodlarını gözden geçirmesine neden oldu. Vercel, ihlalin, bir çalışanın kullandığı üçüncü taraf yapay zeka aracı Context.ai üzerinden Google Workspace bağlantısının ele geçirilmesinden kaynaklandığını açıkladı.
Mythos, saldırganları simüle etmek üzere tasarlanmış yeni nesil yapay zeka sistemleri arasında yer alıyor. Bilinen açıkları taramak yerine, protokoller arası etkileşimleri analiz ederek küçük zayıflıkların nasıl zincirleme şekilde büyük saldırılara dönüşebileceğini test ediyor. Bu yaklaşım, kripto sektörünün ötesinde de ilgi görüyor. JP Morgan gibi bankalar, yapay zeka kaynaklı siber riskleri sistemik bir tehdit olarak ele alıyor ve Mythos gibi araçları stres testi için değerlendiriyor. Ay başında Coinbase ve Binance’in de Anthropic ile Mythos’u test etmek üzere iletişime geçtiği bildirildi.
Mythos gibi modellerin ilk bulguları, kripto platformlarının güvenliğini sağlayan arka plandaki sistemlerde, özellikle anahtar koruma ve sistemler arası iletişim teknolojilerinde zayıflıklar tespit etti.
Vijender, “Yapay zeka modellerinin özellikle iki alanda değerli olduğunu düşünüyorum. Birincisi, genellikle ancak para kaybı yaşandıktan sonra tespit edilen çok adımlı saldırı zincirleri. İkincisi ise geleneksel denetimlerin hiç dokunmadığı altyapı katmanı açıkları” diyor.
Bu değişim, DeFi protokollerinin birbirine entegre olabildiği, yani birlikte çalışabilirliğin temel olduğu bir sistemde kritik önem taşıyor.
DeFi protokolleri, likidite paylaşımı, ortak oracle kullanımı ve çok katmanlı entegrasyonlarla birbirine bağlı şekilde çalışıyor. Bu yapı, büyümeyi hızlandırırken, risklerin de ekosistem genelinde yayılmasına zemin hazırlıyor. Son dönemde yaşanan Hyperbridge saldırısında olduğu gibi, bir saldırgan, zincirler arası mesaj doğrulama açığını kullanarak Ethereum üzerinde 1 milyar dolar değerinde Polkadot token’ı basmayı başardı.
Vijender, “Birlikte çalışabilirlik, DeFi’yi sermaye açısından verimli ve yenilikçi kılıyor. Ancak aynı zamanda, bir protokoldeki küçük bir açık, tüm ekosisteme yayılabilecek kritik bir saldırı vektörüne dönüşebiliyor” değerlendirmesinde bulunuyor.
Yapay zeka olmadan bu bağımlılıkları izlemek oldukça zor. Yapay zeka ile ise bu ilişkiler haritalanabiliyor ve büyük ölçekli saldırılar mümkün hale geliyor. Sonuç olarak, izole açıklar yerine, protokoller arasında zincirleme sistemsel başarısızlıklar gündeme geliyor.
Yapay Zeka Saldırılarının Evrimi
Sektörde bazı liderler ise Mythos’u bir dönüm noktasından ziyade mevcut sürecin hızlanması olarak görüyor.
Aave Labs’in kurucusu Stani Kulechov, yapay zekanın DeFi’nin zaten rekabetçi ve saldırgan ortamındaki dinamikleri yansıttığını belirtiyor. “Web3, iyi finanse edilen ve motive saldırganlara yabancı değil. Yapay zeka modelleri, saldırıların gerçekleştirilmesinde kullanılan araçların evrimini temsil ediyor” diyor.
Bu bakış açısına göre, DeFi zaten makine hızında saldırılara karşı inşa edilmiş durumda. Akıllı sözleşmeler otomatik çalışıyor, tasfiye mekanizmaları ve risk parametreleri insan müdahalesi olmadan devreye giriyor.
Kulechov, “DeFi, işlemci hızında çalışıyor; dolayısıyla yapay zeka yeni bir dinamik getirmiyor, sadece sürekli tetikte olmayı gerektiren bir ortamı daha da yoğunlaştırıyor” diyor.
Buna rağmen, Aave, yapay zekanın insan denetçiler tarafından öncelik verilmeyen yeni açık kategorilerini de ortaya çıkardığını gözlemliyor. “Mythos raporu, yapay zekanın daha önce geri plana atılmış eski açıkları da tespit edebildiğini gösteriyor” diyor.
Bu çeşitlilik, küçük açıkların bile güveni sarsabileceği veya daha büyük saldırılara zemin hazırlayabileceği bir sistemde önemini koruyor.
Saldırganlar daha hızlı hareket edebiliyorsa, savunmanın da aynı hızda gelişip gelişemeyeceği sorusu öne çıkıyor.
Gauntlet ve Aave için çözüm, güvenlik modelinin kendisini değiştirmekten geçiyor. Dağıtımdan önce yapılan denetimler ve sonrasındaki izleme, insan hızındaki tehditler için tasarlanmıştı. Yapay zeka ise bu zaman çizelgesini sıkıştırıyor.
Gauntlet’ten Vijender, “Saldırgan yapay zekaya karşı savunma için, hız ve sürekli adaptasyonun esas olduğu yapay zeka odaklı bir yaklaşım benimsememiz gerekecek” diyor. Bu da sürekli denetim, gerçek zamanlı simülasyon ve ihlallerin kaçınılmaz olduğu varsayımıyla tasarlanan sistemleri kapsıyor.
Daha Gelişmiş Bir Yol
Aave, yapay zekayı halihazırda iş akışlarına entegre etmiş durumda; simülasyon ve kod incelemede insan denetçilerin yanında kullanıyor. Aave Labs’ten Kulechov, “Yapay zekanın net bir değer kattığı noktalarda önceliğimiz bu teknolojiyi kullanmak. Ancak bu, insan odaklı denetimin yerini almak yerine onu tamamlıyor” diyor.
Bu anlamda, yapay zeka hem saldırganlara hem de savunmacılara yeni imkanlar sunuyor.
Geliştiriciler için uzun vadede asıl değişim, keskin bir kopuştan ziyade farklılaşma olabilir.
Uniswap Labs’in kurucusu ve CEO’su Hayden Adams, “Mythos’u henüz test etmedik, ancak onun ve benzeri araçların protokol güvenliği için neler yapabileceğini gerçekten merak ediyoruz. Yapay zeka, geliştiricilere sistemleri stres testinden geçirme ve güçlendirme konusunda daha iyi yollar sunuyor” diyor.
Adams, zamanla güvenli ve güvensiz protokoller arasındaki farkın daha da açılmasını bekliyor. “Güvenliğe öncelik veren projeler, sistemlerini piyasaya sürmeden önce daha kapsamlı test ve güçlendirme imkanına sahip olacak. Bunu yapmayanlar ise en büyük risk altında kalacak” değerlendirmesinde bulunuyor.
Gerçek değişim ise burada yatıyor. Güvenlik artık açıkları tamamen ortadan kaldırmakla ilgili değil; bu açıkların sürekli yeniden keşfedildiği ve birleştirildiği bir sisteme sürekli uyum sağlamak anlamına geliyor.
Bu içerik hazırlanırken faydalanılan kaynaklar: coindesk.com
