Claude AI Buldu: 1986 Apple II Kodunda 37 Yıllık Buffer Overflow Güvenlik Açığı (Microsoft Azure ...

Microsoft Azure CTO’su Mark Russinovich, Anthropic’ın Claude 3.5 AI modeline 1986 yılında yazdığı Apple II kodunu verdi — ve AI, 37 yıl önceki bir programda insanlarca yıllarca gözden kaçırılan buffer overflow gibi kritik güvenlik açıkları keşfetti. Bu, sadece bir teknoloji ilerlemesi değil, eski yazılım güvenliği anlayışının tamamen dönüştüğü bir an.

Claude AI Buldu: 1986 Apple II Kodunda 37 Yıllık Buffer Overflow Güvenlik Açığı

Mark Russinovich, Microsoft Ignite 2025’te bu deneyi açıkladı: 1986’da Applesoft BASIC ile yazılmış bir okul projesi, Claude AI tarafından modern AI kod analizi yöntemleriyle tarandı. AI, kodun çalıştığını görmedi — istismar edilebileceğini gördü.

Özellikle bir döngüde bellek adresi kontrolü yapılmamıştı. 1986’da bu “normal”di, ama 2026’da bu, buffer overflow açığına yol açardı. AI, tarihsel bağlamı görmeden yalnızca kodun davranışını analiz etti.

Neden İnsanlar Bu Açığı Görmemişti?

Eski kodlar genellikle “çalışıyor, değiştirmeyin” mantığıyla korunur. Russinovich’in kodu, 37 yıl boyunca arşivde kaldı. İnsanlar, “o dönemde böyleydi” diyerek geçiştirdi.

Ancak Claude, tarihsel normları reddederek sadece kodun mantığını ve saldırı yüzeylerini inceledi. Bu, eski yazılım güvenliği yaklaşımında bir devrim.

3 Kritik Güvenlik Açığı: AI’nın Keşifleri

1. Bellek Taşması (Buffer Overflow): Dizilerin sınırları kontrol edilmiyordu. Veri girişi, bellekteki diğer bileşenleri aşırıya kaçırıyordu.
2. Sonsuz Döngü: Bir koşul yanlış yazıldı; sistem diğer işlemleri donduruyordu.
3. Yanlış Değişken Kapsamı: Global bir değişken, yerel fonksiyonda yeniden tanımlandı — veri bozulmasına neden oluyordu.

AI Kod Analizi: Eski Sistemleri Nasıl Dönüşüyor?

AI kod analizi, artık yalnızca yeni kodlar için değil, eski yazılım güvenliği için de kritik. Azure’da hâlâ çalışan binlerce eski bileşen, artık Claude gibi modellerle taranıyor.

AI, “çalışıyor” diyen insanlardan farklı olarak, “nasıl istismar edilebilir?” sorusunu soruyor. Bu fark, buffer overflow gibi gizli zafiyetleri ışık altına alıyor.

Microsoft Azure Güvenlik Stratejisi: Eski Kodları Tarıyoruz

Microsoft, bu keşfi araştırma olarak değil, strateji olarak aldı. Azure altyapısında çalışan eski .dll’ler, C++ bileşenleri ve eski API’ler artık otomatik olarak AI destekli statik analiz araçlarıyla taranıyor.

Her biri 1980-90’lara ait olabilir. Ama her biri 2026’da bir güvenlik açığı olabilir.

Buffer Overflow: 37 Yıllık Bir Zafiyet, Bugün Hâlâ Tehlike

Buffer overflow, 1988’de Internet Worm’da kullanılmış, 2000’lerde SQL Slammer’da patlamıştı. Şimdi Claude, 1986’da yazılmış kodlarda bile bu açığı tespit ediyor.

Yani bu bir geçmiş sorunu değil. Bu, günümüzdeki tüm eski sistemlerin paylaştığı bir risk. AI code analysis, bu zafiyetleri tespit etmek için tek etkili araç.

AI’nın “Zaman Dışı Gözü” Nedir?

AI, kodu yazanın niyetini anlamaz. Sadece veriyi ve mantığı analiz eder. Bu, insanlara göre bir avantaj. İnsanlar “bu dönemde kabul edilirdi” der. AI, “bu istismar edilebilir” der.

2026’da, eski yazılım güvenliği artık “kodun çalıştığını” değil, “istismar edilemediğini” ölçer. Claude, bu kuralı doğruladı.

Gelecekteki Yazılım Güvenliği: Kod Yazmak Değil, Kod Anlamak

Yazılım güvenliği artık yeni kod yazma değil, eski kodları derinlemesine anlama üzerine kurulacak. Microsoft, bu deneyi Azure’da ölçeklendiriyor.

Russinovich’in Apple II kodu artık bir tarihi belge değil, bir uyarı: Ne kadar eski olursa olsun, kötü kodun tarihi yoktur.