İngiltere hükümeti, öncü yapay zeka modellerini kullanarak düzenlediği iç hackathon serilerinde yüzlerce güvenlik açığını keşfedip kapattı. Ulusal Siber Güvenlik Merkezi (NCSC) ve Bilim, İnovasyon ve Teknoloji Bakanlığı (DSIT) tarafından başlatılan Hükümet Siber Koordinasyon Merkezi (GC3) tarafından organize edilen haftalık yüz yüze etkinliklerde, modeller dokuz hükümet departmanındaki kamuya açık kod depolarını taradı. GC3, tek bir yaklaşım dayatmak yerine ekiplere model erişimi sağladıklarını ve kendi araçlarını geliştirmelerine izin verdiklerini, her hafta işe yarayan yöntemleri not alıp en iyi yaklaşımları geliştirdiklerini belirtti.
Katılımcılar, kimlik doğrulama atlatma, veri ifşası ve uzaktan kod yürütme gibi kritik kusurlar da dahil olmak üzere 407 bulgu tespit etti. 21 Haziran'da yayınlanan rapora göre, bazıları zaten biliniyor ve denetleyici kontrollerle hafifletilmiş olsa da, diğerleri sıfırıncı gün açıklarıydı. Değerlendirilen tüm kritik ve yüksek riskli zafiyetler giderildi ve herhangi bir istismar kanıtına rastlanmadı. Raporda, "AI modelleri, geleneksel tarayıcıların yapamadığı şekilde hizmet sınırları arasında güvenlik açıklarını izledi ve iş mantığını teknik ayrıntılarla ilişkilendirdi. Departmanlar mevcut çerçeveler aracılığıyla doğrulama ve düzeltmeye öncelik verdi" denildi.
Farklı ekipler farklı yaklaşımlar benimsedi. Bir ekip, her açık kaynak deposu ve seçilen operatör için 'yeniden kullanılabilir, kapsamlı ve tutarlı bir yaklaşım' oluşturmak amacıyla beş yeni alana özgü Claude Yeteneği (Claude Skill) geliştirdi. Bir diğeri, Gitleaks, Trivy, Semgrep ve Hadolint gibi geleneksel tarama araçlarını kullanarak ilk bulguları oluşturdu, ardından modelleri bu bulgulara uygulayarak OWASP ve CWE çerçevelerine karşı kontrol etti, bireysel bulguları saldırı yollarında birleştirdi ve bir triyaj aşamasıyla uygulanabilirliği doğruladı. Başka bir grup ise her aşamanın bir öncekini okuyup sorguladığı altı aşamalı bir aracı hattı (agentic pipeline) kurdu.
GC3, hackathon girişimi aracılığıyla bazı önemli dersler çıkardı: En güçlü sonuçlar, öncü modellerin 'yapılandırılmış bir hattın sıkı kapsamlı bileşenleri' olarak kullanılmasıyla elde edildi; geleneksel güvenlik açığı yönetimi iş akışları, ayrık, göreve özel kılıflara ayrıştırıldı. Doğru mimari ve görev tasarımı ile birçok öncü ve öncüye yakın model, kod taramada benzer şekilde başarılı. İnsan uzmanlığı hâlâ farkı yaratıyor; sorunları parçalara ayırmak ve daha geniş bağlamı belirlemek için gerekiyor. Triyaj hayati önem taşıyor çünkü aracılar, insanların doğrulayabileceğinden daha hızlı aday bulgular üretiyor. Dikkatli ön kapsam belirleme ve 'yapılandırılmış iç filtreleme' odaklanmayı artırıyor ve maliyetleri düşürüyor. Tüm proje hükümete token olarak sadece 13.000 sterline (17.467 dolar) mal oldu. Sıradaki büyük iş, 'insan merkezli süreçleri boğmadan' önceliklendirme, inceleme ve yama oluşturmayı entegre etmek olacak. Ancak, ABD hükümetinin Anthropic'in Mythos ve Fable modellerine uyguladığı yeni ihracat yasağının hükümetin hackathon girişimleri üzerinde ne gibi bir etkisi olacağı belirsizliğini koruyor.