Mythos ve GPT-5.5-Cyber: AI artık herkese açık değil

OpenAI 30 Nisan'da GPT-5.5-Cyber'ı duyurdu. Model, "doğrulanmış siber savunmacılara" açılacak; başvuru ve onay süreciyle elde ediliyor, normal API'da görünmüyor. Bir ay önce Anthropic, Mythos modelini "Project Glasswing partnerlarına" benzer bir mantıkla açtığında Sam Altman bunu "korku pazarlaması" olarak nitelendirmişti. Aynı şirket şimdi tıpatıp aynı yöntemi kullanıyor.

Ne açıklandı

OpenAI'ın duyurusu kısa: GPT-5.5-Cyber, ana GPT-5.5 modelinin siber güvenlik odaklı bir varyantı. Penetration test, vulnerability identification ve malware reverse engineering yapabiliyor. Model genel API'ya gelmeyecek; "Trusted Access for Cyber" (TAC) adında bir doğrulama sistemiyle dağıtılıyor. Şu an binlerce doğrulanmış savunmacıya ve yüzlerce ekibe verildiği söyleniyor. UK AI Security Institute, modeli siber görevlerde "test ettikleri en güçlü modellerden biri" olarak nitelendirdi.

Anthropic tarafında benzer bir mimari Nisan başında oturdu. Mythos Preview, Project Glasswing adlı konsorsiyumun parçası olarak seçili güvenlik şirketlerine açıldı. Anthropic, partnerlara $100M'lık usage credit ve open-source güvenlik kuruluşlarına $4M doğrudan bağış taahhüt etti. Mythos'un üzerinden birkaç hafta içinde her büyük işletim sisteminde ve her büyük tarayıcıda binlerce zero-day bulduğu açıklandı.

Ne değişti

Bir ay öncesine kadar "frontier model" denildiğinde herkesin aklına gelen şey, biraz geç de olsa API'da herkese açık çıkan bir model oluyordu. Opus 4.7, GPT-5.5, Gemini 3 — hepsi bu mantıkla geldi: önce Pro/Plus kullanıcısı, sonra Tier 4-5 API müşterisi, sonra herkes.

Mythos ve Cyber bu çizgiyi ilk defa sertçe kırıyor. İkisi de frontier seviyesi siber yeteneği olan modeller. İkisi de doğrulanmış kurumlara veriliyor. İkisinin de başvuru süreci var. Yani artık "en güçlü model" demek otomatik olarak "ulaşabileceğim model" demek değil.

Schneier on Security bunu "jagged frontier" olarak tanımlıyor: bazı yerlerde frontier yetenek herkese açık, bazı yerlerde değil — ve hangi tarafa düştüğünüz iş alanınıza, akreditasyonunuza, hatta hangi ülkede olduğunuza bağlı.

Benim okuduğum

Bu haberi okurken üç şey dikkatimi çekti.

Birincisi tutum değişimi. Altman, Mart sonunda Mythos için "fear-based marketing" yazmıştı. Nisan sonunda OpenAI aynı şeyi yapıyor ve Altman bu kez "kritik savunmacılara öncelik" diye yazıyor. İki cümle arasında ne fark var? Pazarlamayı kim yaptığı. Lab'lar arasındaki retorik farkı, model davranışı farkından çok daha az kalıcı. İkisinin de "verified-only" sürümü olunca tartışma kapanıyor.

İkincisi ekosistemin yönü. Geçen hafta Cursor 3'ü yazarken "agent-first IDE" mimari değişikliğinin altını çizmiştim. Mythos ve Cyber ondan farklı bir yönde — burada söz konusu olan model erişiminin tier'lara bölünmesi. Bir tarafta editör/agent katmanı yatay genişliyor, diğer tarafta model katmanı dikey kademeleniyor. İkisinin kesişiminde solo geliştirici için anlam değişiyor: "en iyi model"i kullanmak, abone olmaktan çok başka bir şey gerektirebilir.

Üçüncüsü, "siber" tier'ının bugün tek başına olması bana geçici geliyor. Bir model siber yetenekte kapatılabiliyorsa, biyo, kimya, finansal manipülasyon, deepfake gibi başka alanlarda da aynı mantıkla kapatılabilir. Mythos ve Cyber, bir kategorinin başlangıcı gibi okunabilir.

Solo geliştirici için anlamı

Pratikte bugün için çok şey değişmiyor. Bu hafta Cubitz 1.0.6'yı yayına aldım — oynanış mekaniklerine dokundum, tasarımı biraz daha iyileştirdim. Konnex de artık canlıda. Bunları sürerken, blog'u beslerken bana gereken yetenekler Mythos veya Cyber sınırına düşmüyor. Kod yazımı, görsel tasarım, içerik üretimi, doküman okuma — bunlar ana hat modellerle (Opus 4.7, GPT-5.5, Gemini 3) yapılıyor ve oradan kopmuş değiller.

Ama tabloya iki yıl uzunluğunda bakınca tablo değişiyor. "Frontier kabiliyet = pazardaki en kuvvetli model" denkleminin bozulduğu bir döneme giriyoruz. Bir gün benim akışıma değen bir yetenek (örneğin: kuvvetli kod auditing, ya da yüksek kaliteli vulnerability detection) "verified" tarafına düşerse, ben bağımsız geliştirici olarak ya o tarafa geçecek başvuru süreci yapacağım ya da bir basamak aşağı katmandan kullanacağım. İkisi de bugünkü "abone ol, kullan" akışından farklı.

Bir başka olasılık: bu kapatılan kabiliyetlere open-source rakipler hızla cevap verir. DeepSeek V4'ü yazarken kendi makinende çalışabilen iyi modelin önemini konuşmuştuk; cyber tarafında da benzer bir dinamik beklemek aşırı iyimserlik değil. Mythos ve Cyber'ın olduğu yerde DeepSeek-Cyber'ın ne kadar uzakta olabileceği, açık ekosistemin önümüzdeki bir yıllık testi.

Sınırlar ve kaygılar

Şu an iki tarafın da kamuya açık tek tip teknik raporu yok; performans iddialarını üçüncü taraf doğrulayabilen yok. "Test edilen en güçlü model" gibi cümleler kurumsal değerlendirmeden geliyor, akademik benchmark değil.

Ayrıca "verified defender" tanımının kim olduğu opak. OT (operasyonel teknoloji) sağlayıcıları Anthropic'in Glasswing rollout'undan dışlanmaktan rahatsız olduklarını basına anlattı. Yani "kim güvendiği bir savunmacı" sorusu, lab'ların kendi içselleştirdiği bir karar — ve hangi sektörün hangi öncelikle giriş aldığı net değil.

Bir de açık soru: aynı yetenek ana modelde de mevcutsa (sadece "filtrelenmiş" sürüm halka açıksa), kötü niyetli aktör için iki yol arasındaki maliyet farkı asıl bariyer. Mythos'la Claude Opus 4.7 arasındaki yetenek uçurumu ne kadar büyük? Cyber'la ana GPT-5.5 arasında ne fark var? Bu sayılar olmadan "savunma için faydalı, saldırı için riskli" tartışması havada kalıyor.

Sonuç

Mythos ve Cyber, frontier AI'da "tier'lı dünya"nın ilk somut işareti. Altman'ın bir ayda ters U dönüşü, bunun kuralın istisnası değil, kuralın kendisi olduğunu gösteriyor — iki büyük lab da aynı anda buraya geldi.

Solo geliştirici için bugünkü pratik etki sıfıra yakın; iki yıl sonraki etki açık değil. Şimdilik mantıklı duruş: bu modellerin var olduğunu bilin, ana akışınızı genel modeller üstüne kurmaya devam edin, ama "en iyi model"in tanımının değiştiği bir döneme geçtiğimizi unutmayın.