Yapay zeka, güvenlik açığı araştırmalarını kökten değiştiriyor. Ancak şimdiye kadar bu konudaki tartışmalar daha çok teorik düzeydeydi: bir modelin 'bir gün neler yapabileceği' üzerineydi. Intruder ekibi ise daha pratik bir soruya yanıt aradı: Bugün kullanılabilir modellerle, üretim yazılımlarında gerçek, sömürülebilir güvenlik açıklarını ne kadar ileri götürebiliriz? Bu yazı, ekip tarafından geliştirilen ve LLM'leri kod tarama çerçeveleriyle birleştirerek daha önce keşfedilmemiş zafiyetleri bulan bir sistemi detaylandırıyor.
Sistemin ilk başarısı, 300 binden fazla kullanıcısı olan bir WordPress eklentisinde keşfedilen, çok aşamalı, uzaktan sömürülebilir bir SQL enjeksiyonu sıfırıncı gün zafiyeti oldu. Bu zafiyet, keşiften sömürüye kadar tamamen otomatik bir şekilde, insan müdahalesi olmadan bulundu. Peki bu nasıl mümkün oldu?
Yapay zekayı bir kod tarayıcıyla eşleştirirken en büyük sorun odaklanma. LLM'ler küçük kod parçalarını veya belirli bir sorunu analiz etmede mükemmel olsa da, büyük bir kod tabanını taramaya kalktıklarında tüm dosyaları belleğe almaya çalışıyorlar. Bu hem token maliyetini artırıyor hem de doğruluğu düşürüyor. Zafiyet, ilgisiz kodlar arasında kayboluyor. Intruder ekibi bu sorunu 'program dilimi' adını verdikleri bir teknikle çözdü. Bu teknik, bir fonksiyonun çağırdığı tüm alt fonksiyonları ve ilgili kod parçalarını akıllıca seçerek LLM'nin yalnızca ilgili bağlama odaklanmasını sağlıyor.
Geliştirilen boru hattı şu şekilde çalışıyor: Önce Joern kod tarama motoru, kod tabanını geniş bir ağla tarayarak 'ilginç' kalıpları işaretliyor. Ardından her WordPress kancası (hook) için bir program dilimi oluşturuluyor. Bu dilimler, ön eleme için hafif bir LLM'ye (Sonnet) gönderiliyor; bariz şekilde önemsiz olanlar eleniyor. Kalanlar, sömürülebilirlik değerlendirmesi için daha güçlü bir modele (Opus) iletiliyor. Son aşamada, sömürülebilir bulunan her zafiyet için bir sömürü ajanı devreye giriyor ve Docker konteynerinde çalışan yazılım üzerinde testler yaparak çalışan bir istismar kodu yazmaya çalışıyor.
İlk bulgu, CVE-2026-3985 olarak kaydedilen, Creative Mail eklentisindeki bir SQL enjeksiyon zafiyetiydi. Bu zafiyet, yönetici hash'leri ve gizli token'lar dahil olmak üzere veritabanına tam okuma erişimi sağlıyordu. Sömürü için birden fazla zincirleme istek gerektirmesi, geleneksel araçlar tarafından tespit edilmesini zorlaştırıyordu. İlginçtir ki, zafiyetin kaynağı geliştiricinin kendi statik analiz araçları tarafından gizlenmişti. Sömürü ajanı, ilk denemede çalışan bir proof-of-concept üreterek zafiyeti doğruladı ve veritabanından parola hash'lerini çekebilen tam bir çıkarma yöntemi sundu.
Bu keşif, yapay zekanın güvenlik açığı keşfinde ne kadar hızlı ilerlediğini gösteriyor. Intruder ekibi halihazırda daha fazla zafiyet buldu ve ilgili satıcılara bildirdi. Yapay zeka, güvenlik araştırmalarında giderek daha önemli bir rol oynayacak. Ancak bu, savunma mekanizmalarının da aynı hızda gelişmesi gerektiği anlamına geliyor. Artık sadece insan araştırmacılar değil, yapay zeka destekli sistemler de sürekli olarak yeni zafiyetler arıyor. Güvenlik ekiplerinin bu yeni tehdit ortamına hazırlıklı olması şart.
Kaynak: bleepingcomputer.com