Google‘un AI destekli hata avcısı, ilk güvenlik açıkları raporunu yayınladı.
Google’ın güvenlikten sorumlu başkan yardımcısı Heather Adkins, LLM tabanlı güvenlik açığı araştırmacısı Big Sleep‘in, çeşitli popüler açık kaynak yazılımlarda 20 güvenlik açığı bulduğunu duyurdu.
Adkins, Big Sleep’in, şirketin AI departmanı DeepMind ile elit hacker ekibi Project Zero tarafından geliştirildiğini belirterek, bu yazılımların çoğunun FFmpeg ve ImageMagick gibi açık kaynak yazılımlarında ilk kez güvenlik açıkları raporladığını ifade etti.
Güvenlik açıklarının henüz düzeltilmemiş olması nedeniyle, etkileri veya ciddiyetleri hakkında detay verilemediğini aktaran Google, bu tür durumlarda detayları paylaşmamayı tercih ediyor. Ancak, Big Sleep’in bu güvenlik açıklarını bulması, bu araçların gerçekte sonuçlar elde etmeye başladığını göstermesi açısından önemlidir.
Google sözcüsü Kimberly Samra, “Yüksek kaliteli ve uygulanabilir raporlar sağlamak için, her rapor öncesinde bir insan uzmanı devreye giriyor. Ancak her güvenlik açığı AI ajanı tarafından insan müdahalesi olmadan bulundu ve tekrar üretildi,” dedi.
Royal Hansen, Google’ın mühendislikten sorumlu başkan yardımcısı, bulguların “otomatik güvenlik açığı keşfinde yeni bir sınır” olduğunu yazdı.
LLM destekli araçlar zaten gerçeklik kazandı ve Big Sleep dışında RunSybil ve XBOW gibi diğer projeler de mevcut.
XBOW, HackerOne platformunda bir liderlik tablosunun zirvesine ulaşarak dikkatleri üzerine çekti. Bu tür raporların çoğunun, AI destekli hata avcısının gerçek bir güvenlik açığı bulduğunu doğrulamak için bir insanın sürece dahil olduğu unutulmamalıdır.
Vlad Ionescu, AI destekli hata avcıları geliştiren RunSybil’in kurucu ortağı, Big Sleep’in “geçerli” bir proje olduğunu, çünkü iyi bir tasarıma sahip olduğunu ve arkasındaki insanların işlerini bildiğini belirtti.
Bu araçların büyük bir potansiyele sahip olduğu açıktır, ancak önemli dezavantajlar da bulunmaktadır. Farklı yazılım projelerini yöneten birçok kişi, AI hayali raporlar ile karşılaştıklarını, bazıları bunun bug bounty dünyasında bir tür “AI çöpü” olduğunu dile getirdi.
Ionescu, “İnsanların karşılaştığı sorun, altın gibi görünen birçok şey elde etmemiz, ancak aslında bunun sadece çöp olması,” dedi.
