Birleşik Krallık hükümeti, öncü yapay zeka modellerini kullanarak bir dizi dahili hackathon yürüttükten sonra yüzlerce güvenlik açığını keşfetti ve yamaladı.
Haftalık, yüz yüze etkinlikler, Ulusal Siber Güvenlik Merkezi (NCSC) ve Bilim, Yenilik ve Teknoloji Bakanlığı'nın (DSIT) bir girişimi olan Hükümet Siber Koordinasyon Merkezi (GC3) tarafından düzenlendi.
Buradaki fikir, modelleri dokuz devlet dairesindeki kamu kod havuzlarını taramak için kullanmaktı.
Uzmanların Görüşleri
GC3, "Tek bir yaklaşımı zorunlu kılmak yerine ekiplere model erişimi verdik ve her hafta neyin işe yaradığını fark ederek ve en iyi yaklaşımları geliştirerek kendi araçlarını oluşturmalarına izin verdik" dedi.
Nasıl Önlem Alınmalı?
Devlet güvenliği hakkında daha fazlasını okuyun: Yapay Zeka Güvenlik Enstitüsü, Mythos Testinden Sonra Güvenlik İçin En İyi Uygulamaları Savunuyor
Katılımcılar, kimlik doğrulamayı atlama, verilerin açığa çıkması ve uzaktan kod yürütme gibi kritik kusurlar da dahil olmak üzere 407 bulgu tespit etti. 21 Haziran'da yayınlanan raporda, bunların bir kısmının zaten bilinip telafi edici kontrollerle hafifletilmesine rağmen, diğerlerinin sıfır gün olduğu iddia edildi.
İstismar edilebilir olarak değerlendirilen tüm kritik ve yüksek riskli zayıflıklar, herhangi bir istismar kanıtı belirlenmeden düzeltildi.
Sistem Güvenliği
Raporda, "Yapay zeka modelleri, geleneksel tarayıcıların yapamadığı şekilde hizmet sınırlarındaki güvenlik açıklarını izledi ve iş mantığını teknik ayrıntılarla ilişkilendirdi. Departmanlar, mevcut çerçeveler aracılığıyla doğrulama ve düzeltmeye öncelik verdi" dedi.
Çeşitli ekipler farklı yaklaşımlar benimsedi. One, seçilen her açık kaynak deposu ve operatörde "yeniden kullanılabilir, kapsamlı ve tutarlı bir yaklaşım" oluşturmak için alana özgü beş yeni Claude Becerisi oluşturdu.
Detaylar ve Etkileri
Bir diğeri, ilk bulguları oluşturmak için Gitleaks, Trivy, Semgrep ve Hadolint gibi geleneksel tarama araçlarını kullandı. Daha sonra OWASP ve CWE çerçevelerini kontrol etmek, bireysel bulguları saldırı yollarına dönüştürmek ve bir önceliklendirme aşaması yoluyla uygulanabilirliği doğrulamak için bu bulgulara modeller uyguladılar.
Teknik Analiz
Başka bir grup, her aşamanın sonuncuyu okuyup zorladığı altı aşamalı bir ajans hattı inşa etti.
Frontier Modelleri Güçlü Performans Sağlıyor
GC3, hackathon girişimi aracılığıyla bazı önemli dersler aldığını söyledi:
Önemli Gelişmeler
En güçlü sonuçlar, geleneksel güvenlik açığı yönetimi iş akışlarının ayrı, göreve özel donanımlara bölündüğü, sınır modellerinin "yapılandırılmış bir işlem hattı içinde kapsamı sıkı bir şekilde belirlenmiş bileşenler" olarak kullanılmasından elde edildi.
Doğru mimari ve görev tasarımıyla, birçok sınıra yakın ve sınır modeli, kod taramada benzer şekilde iyidir. Sorunları parçalara ayırmak ve daha geniş bağlamı tanımlamak için gereken insan uzmanlığı hâlâ fark yaratıyor
Gelecekte Ne Bekleniyor?
Triyaj hayati önem taşıyor çünkü ajanlar aday bulguları insanların doğrulayabileceğinden daha hızlı üretiyor. Dikkatli bir ön kapsam belirleme ve "yapılandırılmış dahili filtreleme" odaklanmayı iyileştirir ve maliyetleri azaltır. Projenin tamamı hükümete yalnızca 13.000 £ (17.467 $) token'a mal oldu
Bir sonraki büyük iş, önceliklendirmeyi, incelemeyi ve yama oluşturmayı "insan merkezli süreçleri bunaltmadan" entegre etmek olacak
Ancak ABD hükümetinin Anthropic'in Mythos ve Fable modellerine yönelik yeni ihracat yasağının hükümetin hackathon girişimleri üzerinde ne gibi bir etki yaratacağı belli değil.
Cuma günü geç saatlerde getirilen yasak, Amerikalı olmayan tüm kullanıcıların firmanın en güçlü modellerine erişimini engelliyor.