AI ve Kriptografi Buluşması: OpenVM'nin ZkVM'sinde Kritik Güvenlik Açığı Keşfedildi Siber Güvenlik

AI ve Kriptografi Buluşması: OpenVM'nin ZkVM'sinde Kritik Güvenlik Açığı Keşfedildi

Yapay zeka denetim aracı zkao, OpenVM'nin zkVM'sinde kritik bir güvenlik açığı keşfetti. CVE-2026-46669 olarak kaydedilen bu hata, eşleştirme denetiml

Yapay zeka ve kriptografi kesişiminde önemli bir adım daha atıldı. Geçtiğimiz günlerde, zkao adlı yapay zeka denetim aracı, OpenVM'nin zkVM'sinde (sıfır bilgi sanal makinesi) kritik bir güvenlik açığı tespit etti. CVE-2026-46669 olarak kaydedilen bu hata, kötü niyetli bir kanıtlayıcının (prover) herhangi bir eşleştirme (pairing) eşitliğini sahtelemesine olanak tanıyor. Önemle belirtmek gerekir ki bu hata, zkVM'nin kanıtlama sisteminin kendisinde değil, openvm-pairing adlı misafir kütüphanesinde bulunuyor. Yani yalnızca bu kütüphaneyi kullanan kodları etkiliyor. OpenVM 1.6.0 sürümüyle düzeltilen bu hata, tüm ortakların güncellemesiyle kapatıldı.

Bu keşif, AI destekli güvenlik denetimlerinin geldiği noktayı göstermesi açısından da önemli. zkao, bulguyu otomatik olarak üretti ve insan ekibimiz tarafından doğrulandı. AI'nın ürettiği aday bulgu, detaylı rapor ve minimal bir PoC (Proof of Concept) sayesinde hızlıca incelenip OpenVM ekibine iletildi. Bu süreç, AI'nın karmaşık kod tabanlarında bile anlamlı güvenlik açıkları bulabileceğini kanıtladı.

Peki bu hata nasıl keşfedildi? Dört ay önce OpenVM'yi taramaya başladığımızda, önce basit bir LLM (büyük dil modeli) yapılandırması kullandık. Opus 4.6 ve Codex 5.3 modelleriyle yapılan taramalar, bazı geçerli gözlemler verse de hiçbiri gerçekten istismar edilebilir değildi. Daha sonra Opus 4.7 ve Codex 5.4 modelleriyle tekrar denedik, ancak sonuç değişmedi. Bunun üzerine, zkVM'nin karmaşıklığının basit bir LLM yapılandırması için fazla olduğu hipotezini geliştirdik. Modüller arası bağımlılıklar tipik bir kütüphaneden çok daha yoğun; bu nedenle alt ajanların modüller hakkında bilgi üretmesi gerekiyor, ancak bu bilginin uzunluğu ve kapsamı dengelemek zor. İşte bu noktada, kendi uzmanlarımızın çalışma yöntemlerini kodlayan zkao devreye girdi.

zkao, 9,5 saatten uzun süren bir tarama sonucunda birçok bulgu döndürdü. Bunların arasında en dikkat çekeni, openvm-pairing kütüphanesindeki eşleştirme denetimi hatasıydı. Bu hata, bir eşleştirme ürününün doğrulanması sırasında ölçekleme faktörünün (scaling factor) yanlış bir alt alan denetiminden geçirilmesinden kaynaklanıyordu. Bu da bir saldırganın, sahte bir eşleştirme ürününü geçerliymiş gibi göstermesine olanak tanıyordu.

Hatanın teknik detaylarına inecek olursak: Eşleştirmeler, Groth16, PLONK ile KZG ve BLS imzaları gibi birçok kriptografik protokolün temelini oluşturur. Bu protokollerde doğrulayıcı, genellikle eşleştirme çarpımının 1'e eşit olup olmadığını sorgular. Eğer bir kanıtlayıcı, sahte bir eşleştirme çarpımını 1 olarak gösterebilirse, SNARK kanıtı, KZG açılımı veya BLS imzası gibi tüm üst yapılar güvenilirliğini kaybeder. Hata, Miller döngüsü çıktısının (f) eşdeğerlik sınıfı temsilciliğinden kaynaklanıyordu: Miller döngüsü çıktıları yalnızca r'inci kuvvetlerle çarpıma kadar benzersizdir. Bu da farklı f değerlerinin aynı eşleştirmeyi temsil edebilmesine yol açar.

Detaylar ve Etkileri

Hatanın düzeltilmesi, OpenVM 1.6.0 sürümünde yapıldı. Güncelleme ile birlikte, ölçekleme faktörünün alt alan denetimi düzeltildi ve eşleştirme doğrulama mantığı sıkılaştırıldı. OpenVM ekibi, tüm ortakların bu sürüme geçtiğini doğruladı. Bu olay, karmaşık kriptografik sistemlerin güvenlik denetimlerinde AI'nın potansiyelini bir kez daha gözler önüne seriyor.

Sonuç olarak, AI destekli güvenlik denetimleri, özellikle karmaşık kod tabanlarında, insan uzmanların iş yükünü azaltabilir ve gözden kaçabilecek hataları yakalayabilir. Ancak, AI'nın bulgularının her zaman insan tarafından doğrulanması gerektiği unutulmamalıdır. Gelecekte, AI ve insan iş birliğinin daha da gelişeceğini ve kriptografi gibi kritik alanlarda güvenliği artıracağını öngörüyoruz.

Kaynak: blog.zksecurity.xyz

Paylaş: