Yakın zamanda yapılan bir araştırmaya göre yapay zeka, daha önce insan uzmanlar tarafından gerçekleştirilen sıfır gün açıklarının yazılması gibi zorlu görevleri halihazırda yerine getirebiliyor. Makale, güvenlik camiasında heyecan yaratıyor ve bunu da hak ediyor: Araştırma, inanılmaz şeyler yaptığı söylenen bazı Çinli saldırganlar hakkındaki “Bana güven kardeşim” raporlarından temelde farklı. Yazar Sean Heelan tam olarak ne yaptığını, nasıl yaptığını ve nedenini belgeliyor. Bu amaçla geliştirilen fikir ve araçları açık kaynak olarak kullanıma sunar. Son olarak analizinin bir parçası olarak sonuçlardan çıkardığı sonuçları ve bunların sınırlamalarını tartışıyor.
Duyurudan sonra devamını okuyun
Yapay zeka sayesinde sıfır gün artık bir gerçek
Heelan'ın “LLM ile istismar neslinin bir sonraki sanayileşmesi üzerine” katkısının ana mesajı şudur: güvenlik açıklarının istismarlarla somut olarak tanımlanması ve kullanılması, yapay zeka ile tamamen sanayileştirilecektir. “Bir devletin veya grubun istismar geliştirme, ağlara sızma, […] İlgili sınır, “zaman içindeki token getirisi”, yani yapay zeka kaynaklarına ne kadar para yatırıldığıdır. Ve bu uzak bir gelecek değil, açıkça zaten bir gerçeklik. Çalışmanın yazarı bunu deneylerinde somut olarak görebilmişti: “Zorluklar zorlaştıkça, çözüm bulmaya devam etmek için giderek daha fazla token harcayabildim. Sonuçta sınırlayıcı faktör modeller değil bütçemdi.”
Heelan, QuickJS'de bir sıfır gün hatası bulmuştu (bu arada yapay zeka ile). QuickJS, çeşitli sınırlamalara sahip basit bir JavaScript yorumlayıcısıdır ancak oldukça karmaşık bir yazılımdır. Daha sonra Anthropic'in Opus 4.5 (Claude) ve OpenAI'nin GPT-5.2'sini (ChatGPT) temel alan aracılar oluşturuldu ve bu hata için bağımsız olarak çalışan güvenlik açıkları oluşturmakla görevlendirildi. Boşluk henüz hiçbir yerde belgelenmediğinden yapay zeka bunu hiçbir yere kopyalayamadı ve Heelan sonucu sıkı bir şekilde kontrol etti (ve aslında yapay zekalardan birini hile yapmaya çalışırken yakaladı).
Kademeli karmaşıklık
Başarıyı daha anlamlı kılmak için Heelan, kademeli olarak korumalı alan ve Kontrol Akışı Bütünlüğü gibi ek istismar azaltımlarını ekledi; bu da görevi yavaş yavaş ve bazen büyük ölçüde zorlaştırdı. Amaç her zaman, JS yorumlayıcı haklarının çalıştığı bir kabuk ile harici bir ağ bağlantı noktasına bağlantı gibi uzaktan kod yürütmeyi denemekti. Bunlar, normalde en az bir deneyimli güvenlik uzmanına, hatta tercihen bir ekibe ihtiyaç duyacağınız gerçek ve oldukça zorlu görevlerdi. Yapay zekalara herhangi bir rehberlik veya yardım verilmedi; yalnızca olası çözümleri arayabilecekleri, değerlendirebilecekleri ve daha sonra reddedebilecekleri veya daha da geliştirebilecekleri bir ortam sağlandı.
Sonuç etkileyiciydi: ChatGPT aslında tüm görevleri çözdü; Claude iki vaka dışında hepsinde başarılı oldu. Toplamda yapay zekalar 40 çalışan güvenlik açığı oluşturdu. Devrim niteliğinde bir şey bulamadılar, ancak bunların üstesinden gelmek için ilgili azaltımların bilinen sınırlamalarını ve zayıflıklarını kullandılar. Belirli bir durumda bu durumdan nasıl yararlanabileceklerini kendi başlarına buldular. Ve Sean'ın daha önce bilmediği ve internette bulamadığı hileler buldular.
Duyurudan sonra devamını okuyun
Çözüm
Heelan, belgelenmiş ve doğrulanabilir çerçeve koşulları altında, yapay zekanın BT güvenliğini geri döndürülemez biçimde nasıl değiştirdiğini gösteriyor: Token başına saldırı araçları satın alabilirsiniz ve bu, insan kaynaklarından bağımsız olarak ölçeklenir. Onun sözleriyle: “Gerçek sonuçlar için token takası yapabilirsiniz.”
Saldırganın kaynakları arttıkça saldırı yeteneğinin de arttığı zaten biliniyor. Devlet tarafından finanse edilen gelişmiş kalıcı tehditlerin bu bakımdan en üst ligde yer alması boşuna değil. Ancak artık milyoner yatırımlarından bahsetmiyoruz: ChatGPT'nin en zorlu görevi çözmesi üç saatten biraz fazla sürdü; Bu acente gezisinin maliyeti yaklaşık 50 dolardı. Bu miktar, orta ölçekli bir siber suç çetesinin bütçesini zorlamadan kolaylıkla on katına, yüz katına, hatta bin katına çıkarılabilir. Bu daha önce mümkün olmadığı düşünülen bir şekilde genişliyor.
Sürdürülebilir bir yatırımla ilk kez, internete bağlı hemen hemen her cihazda işe yarayan sıfır gün güvenlik açıklarından oluşan bir cephanelik oluşturmak mümkün olacak. Bu nedenle Intervnet'e bağlantı artık yönetilebilecek teorik bir risk değildir. Daha ziyade, birisinin güvenlik açıklarından yararlanma konusunda doğrudan yeteneğine sahip olduğunun ve şüphe duyulması durumunda bunu yapacağının kesinliği anlamına gelir.
Bu senaryo için güvenliği yeniden düşünmemiz gerekiyor. Yani mutlaka yeni teknoloji olması gerekmiyor, BT'yi nasıl güvence altına aldığımız önemli. Bunu biliyoruz ve bilinen yöntemler yapay zeka destekli saldırılara karşı da işe yarıyor. Temel zorluk, güvenlik açıklarının varlığının kural değil istisna haline gelmesi için bu güvenliğin her düzeyde nasıl sağlanacağıdır.
Her halükarda, acilen ihtiyacımız olan şey, yalnızca yapay zekanın olanaklarına ilişkin anlayışımızı geliştirmekle kalmayıp aynı zamanda daha fazla araştırmayı aktif olarak destekleyen bu tür ve kalitede daha fazla çalışmaya ihtiyaç vardır. Özellikle madalyonun diğer yüzünü değerlendirmek için de aynı derecede yapıcı yaklaşımlara ihtiyacımız var: Saldırganların hayatını zorlaştırmak ve savunmacılara yardım etmek için yapay zekanın nasıl kullanılacağı. Ve bununla, güvenlik araçlarındaki sözde yapay zeka işlevlerine veya “bize güvenin, hallederiz” gibi herhangi bir şeye yönelik daha yüksek sesli abartılı reklamları kastetmiyorum.
(Evet)
Bir yanıt yazın