Geçen hafta Anthropic, Claude Opus 4.6'yı temel alan AI güvenlik açığı tarayıcısıyla Firefox'ta 100'den fazla güvenlik açığını tespit ederek başarı elde ettiğini bildirdi. OpenAI bunun böyle kalmasına izin vermeyecek. Geçtiğimiz yıldan bu yana sınırlı bir çevrenin özel beta sürümü olarak kullanımına sunulan ve daha önce “Aardvark” olarak bilinen güvenlik açığı tespitine yönelik yapay zeka, artık “Codex Security” araştırma ön izleme sürümü olarak mevcut.
Reklamdan sonra devamını okuyun
OpenAI bunu web sitesinde duyuruyor. Şirket, AI güvenlik açığı tarayıcısını “Uygulama Güvenliği Aracısı” olarak adlandırıyor. Projelerin geniş bağlamını yakalamak ve diğer araçların tespit edemediği güvenlik açıklarını belirlemek amaçlanmaktadır. Bulunan açıkların, önerilen düzeltmelerle sistemin güvenliğinin daha iyi sağlanmasına katkı sağlaması ve kullanıcıları önemsiz hataların gürültüsünden kurtarması amaçlanıyor.
Güvenlik açıklarını değerlendirin
OpenAI, gerçek dünyadaki güvenlik açığı tehditlerini anlamak için bağlamın önemli olduğunu açıklıyor. Ancak çoğu yapay zeka aracı, çok az öneme sahip bulgular ve hatta hatalı pozitif raporlar sunar; bu da güvenlik ekiplerinin sınıflandırması için çok fazla zamana mal olur. Geliştirici Daniel Stenberg, projesi curl ile bu konuda size bir iki şey söyleyebilir: Öncelikle, servet avcılarının sayısız raporu nedeniyle HackerOne'daki hata ödül programını tamamen rafa kaldırdı. Ancak Şubat ayının sonunda Curl ile oraya geri döndü; hata yönetimi kontrolden çıktı, HackerOne gibi bir platform olmadan önemli işlevler eksikti.
AI güvenlik açığı bulucunun işleviyle ilgili olarak OpenAI, sistemin öncelikle bir bağlam oluşturduğunu ve güvenlikle ilgili yapıyı otomatik olarak tanıdığını ve bundan bir tehdit modeli türettiğini yazıyor. Bu, sistemin ne yaptığına, kime güvendiğine ve en büyük saldırı yüzeylerini nerede sunduğuna bağlıdır. Bu daha sonra ayarlanabilir. Yapay zeka bu bilgiyi güvenlik açıklarını aramak ve uygulamadaki gerçek tehdit düzeyini değerlendirmek için kullanır. Mümkünse bulguları korumalı alan ortamlarında da test etmeye başlar. Bu, yanlış alarmları azaltır. Ek olarak, geliştiricilere sınıflandırma ve düzeltme konusunda yardım sunan kavram kanıtlama kodları da oluşturulur. Codex ayrıca belirlenen sorunlar için düzeltmeler de önerir.
Codex Security bu nedenle daha iyi sonuçlar sunmalı ve örneğin yapay zekanın yardımıyla hızlandırılmış geliştirmenin bir sonucu olarak ortaya çıkan inceleme sürecindeki darboğazı genişletmelidir. OpenAI, ilk testlerde yapay zekanın bazı ilgili güvenlik açıklarını ortaya çıkarabildiğini açıklıyor. OpenAI, bazı açık kaynaklı projelerin kaynaklarını Codex Security ile analiz etti. Bildirimin sonunda şirket, Codex Security AI'nin tespit ettiği 15 güvenlik açığını CVE kayıtlarıyla topladı. Bunların çoğu CVSS sistemine göre “orta” risk sınıflandırmasına tabi tutuldu, ancak bazıları da yüksek riskli olarak sınıflandırıldı. Bazı açık kaynak proje katılımcıları o zamandan beri OSS için Codex'e erişim elde etti ve ChatGPT Pro ve Plus, Code Review ve Codex Security'ye ücretsiz erişim sağladı. OpenAI bu programı daha da fazla açık kaynaklı projeye genişletmek istiyor.
(dmk)
Bir yanıt yazın