Geçen hafta Anthropic, Claude Opus 4.6 tabanlı AI güvenlik açığı tarayıcısıyla Firefox'ta 100'den fazla güvenlik açığını tespit ederek başarı elde ettiğini bildirdi. OpenAI bunun olmasına izin vermeyecektir. Geçen yıldan bu yana özel beta sürümü olarak sınırlı bir çevrenin kullanımına sunulan, daha önce “Aardvark” olarak bilinen güvenlik açığı tespit yapay zekası, artık “Codex Security” aramasının ön izleme sürümü olarak sunuluyor.
Duyurudan sonra devamını okuyun
OpenAI bunu web sitesinde duyuruyor. Şirket, AI güvenlik açığı tarayıcısını “Uygulama Güvenliği Aracısı” olarak adlandırıyor. Projelerin geniş bağlamını yakalamayı ve diğer araçların tespit edemediği güvenlik açıklarını belirlemeyi amaçlar. Bulunan açıkların, önerilen düzeltmelerle daha iyi sistem güvenliğine katkıda bulunması ve kullanıcıları önemsiz hataların gürültüsünden kurtarması amaçlanıyor.
Güvenlik açıklarını değerlendirin
OpenAI, gerçek dünyadaki güvenlik açığı tehditlerini anlamak için bağlamın önemli olduğunu açıklıyor. Ancak çoğu yapay zeka aracı, düşük etkili sonuçlar ve hatta yanlış pozitif raporlar sağlar; bu da güvenlik ekiplerinin sınıflandırması için çok fazla zamana mal olur. Geliştirici Daniel Stenberg, curl projesiyle size bu konuda bir şeyler söyleyebilir: Öncelikle, servet avcılarından gelen çok sayıda rapor nedeniyle HackerOne'daki hata ödül programını tamamen ortadan kaldırdı. Ancak Şubat ayının sonunda Curl'le birlikte tekrar oradaydı: Hata yönetimi kontrolden çıkıyordu, HackerOne gibi bir platform olmadığında önemli işlevler eksikti.
AI güvenlik açığı tespit işleviyle ilgili olarak OpenAI, sistemin öncelikle bir bağlam oluşturduğunu, güvenlikle ilgili yapıyı otomatik olarak tanıdığını ve ondan bir tehdit modeli çıkardığını yazıyor. Bu, sistemin ne yaptığına, kime güvendiğine ve en iyi saldırı yüzeylerini nerede sunduğuna bağlıdır. Bu daha sonra değiştirilebilir. Yapay zeka, bu bilgiyi güvenlik açıklarını aramak ve gerçek tehdit düzeyini pratik olarak değerlendirmek için kullanır. Mümkünse, bulguları korumalı alan ortamlarında da test etmeye başlayın. Bu, yanlış alarmları azaltır. Ek olarak, geliştiricilere sınıflandırma ve düzeltme konusunda yardım sunan kavram kanıtlama kodları da oluşturulur. Kodeks ayrıca belirlenen sorunlara yönelik çözümler de önermektedir.
Codex Security bu nedenle daha iyi sonuçlar vermeli ve örneğin yapay zekanın yardımıyla hızlandırılmış geliştirmenin bir sonucu olarak ortaya çıkan inceleme sürecindeki darboğazı genişletmelidir. OpenAI, ilk testlerde yapay zekanın ilgili bazı güvenlik açıklarını keşfetmeyi başardığını açıklıyor. OpenAI, bazı açık kaynaklı projelerin kaynaklarını Codex Security ile analiz etti. Danışmanlık sonunda şirket, Codex Security'nin yapay zekası tarafından tespit edilen CVE kayıtlarıyla 15 güvenlik açığı topladı. Bunların birçoğu CVSS sistemine göre “orta” riskli olarak sınıflandırılırken, bazıları da yüksek riskli olarak sınıflandırıldı. Açık kaynak projesindeki bazı katılımcılar o zamandan beri OSS için Codex'e erişim elde etti ve ChatGPT Pro ve Plus, Code Review ve Codex Security'ye ücretsiz erişim sağladı. OpenAI bu programı daha da fazla açık kaynaklı projeye genişletmek istiyor.
(Bilmiyorum)
Bir yanıt yazın