- AI Agents Are Getting Better at Writing Code—and Hacking It as Well
- One of the best bug-hunters in the world is an AI tool called Xbow, just one of many signs of the coming age of cybersecurity automation.
Yapay Zeka Hata Avına Çıkıyor
Will Knight, Kıdemli Yazar
En son yapay zeka modelleri sadece yazılım mühendisliğinde olağanüstü iyi olmakla kalmıyor, yeni araştırmalar da yazılımlardaki hataları bulmada giderek daha da iyiye gittiklerini gösteriyor.
UC Berkeley'deki yapay zeka araştırmacıları, en son yapay zeka modellerinin ve ajanlarının 188 büyük açık kaynak kod tabanında güvenlik açıklarını ne kadar iyi bulabildiklerini test ettiler. "CyberGym" adlı yeni bir ölçüt kullanarak, yapay zeka modelleri daha önce bilinmeyen veya "sıfır gün" olan 15 tanesi de dahil olmak üzere 17 yeni hata belirledi. Çalışmaya liderlik eden UC Berkeley profesörü Dawn Song, "Bu güvenlik açıklarının çoğu kritik" diyor.
Birçok uzman, yapay zeka modellerinin korkutucu siber güvenlik silahları haline gelmesini bekliyor. Startup Xbow'dan bir yapay zeka aracı şu anda HackerOne'ın hata avcılığı liderliğinde yükseldi ve şu anda en üst sırada yer alıyor. Şirket kısa süre önce 75 milyon dolarlık yeni bir finansman duyurdu.
Song, en son yapay zeka modellerinin kodlama becerilerinin gelişen muhakeme yetenekleriyle birleşmesinin siber güvenlik manzarasını değiştirmeye başladığını söylüyor. "Bu çok önemli bir an" diyor. "Aslında genel beklentilerimizi aştı."
Modeller gelişmeye devam ettikçe, hem güvenlik açıklarını keşfetme hem de bunlardan yararlanma sürecini otomatik hale getirecekler. Bu, şirketlerin yazılımlarını güvende tutmalarına yardımcı olabilir, ancak aynı zamanda bilgisayar korsanlarının sistemlere girmesine de yardımcı olabilir. Song, "Bu kadar çabalamadık bile" diyor. "Bütçeyi artırırsak, ajanların daha uzun süre çalışmasına izin verirsek, daha da iyi sonuçlar elde edebilirler."
UC Berkeley ekibi, OpenAI, Google ve Anthropic'ten geleneksel öncü yapay zeka modellerinin yanı sıra Meta, DeepSeek ve Alibaba'dan gelen açık kaynaklı teklifleri, OpenHands, Cybench ve EnIGMA dahil olmak üzere hata bulmaya yönelik çeşitli ajanlarla birleştirdi.
Araştırmacılar, 188 yazılım projesinden bilinen yazılım güvenlik açıklarıyla ilgili açıklamaları kullandılar. Daha sonra açıklamaları, yeni kod tabanlarını analiz ederek, testler yaparak ve konsept kanıtı istismarlar oluşturarak aynı kusurları kendileri için tespit edip edemeyeceklerini görmek için öncü yapay zeka modelleri tarafından desteklenen siber güvenlik ajanlarına verdiler. Ekip ayrıca ajanlardan, kod tabanlarında yeni güvenlik açıkları aramalarını istedi.
Bu süreçte, yapay zeka araçları yüzlerce konsept kanıtı istismarı üretti ve bu istismarlardan araştırmacılar daha önce görülmemiş 15 güvenlik açığı ve daha önce açıklanmış ve düzeltilmiş iki güvenlik açığı belirledi. Çalışma, yapay zekanın potansiyel olarak tehlikeli (ve değerli) sıfır gün güvenlik açıklarının keşfini otomatikleştirilebileceğine dair artan kanıtlara katkıda bulunuyor, çünkü bu, canlı sistemlere sızmanın bir yolunu sağlayabilir.
Yapay zeka, siber güvenlik endüstrisinin önemli bir parçası olmaya mahkum görünüyor.
Güvenlik uzmanı Sean Heelan, yakın zamanda OpenAI'nin muhakeme modeli o3 yardımıyla, yaygın olarak kullanılan Linux çekirdeğinde sıfır gün kusuru keşfetti. Geçtiğimiz Kasım ayında Google, AI kullanarak daha önce bilinmeyen bir yazılım güvenlik açığını "Project Zero" adlı bir program aracılığıyla keşfettiğini duyurdu.
Yazılım endüstrisinin diğer bölümleri gibi, birçok siber güvenlik firması da yapay zekanın potansiyeline hayran. Yeni çalışma, yapay zekanın düzenli olarak yeni kusurlar bulabileceğini gösteriyor, ancak aynı zamanda teknolojideki mevcut sınırlamalara da dikkat çekiyor. Yapay zeka sistemleri çoğu kusuru bulamadı ve özellikle karmaşık olanlar karşısında şaşkına döndü.
"Çalışma harika," diyor Luta Security'nin kurucusu ve CEO'su Katie Moussouris, kısmen yapay zekanın hala insan uzmanlığına rakip olmaması nedeniyle; model ve ajan kombinasyonunun (Claude ve OpenHands) en iyisi güvenlik açıklarının yalnızca yaklaşık %2'sini bulabildi. Moussouris, "Henüz insan hata avcılarınızın yerini almayın" diyor.
Moussouris, şirketlerin diğer tekniklerin pahasına yapay zekaya çok fazla yatırım yapmasından yapay zekanın yazılımları hacklemesinden daha fazla endişe duyduğunu söylüyor.
