Yapay zeka, güvenlik araştırmalarını kökten değiştiriyor. Ancak şimdiye kadar tartışmalar daha çok teorikti: bir modelin neler yapabileceği üzerineydi. Intruder ekibi ise pratik bir soruya yanıt aradı: Mevcut modellerle, üretim yazılımlarında gerçek, istismar edilebilir güvenlik açıklarını bulmakta yapay zeka ne kadar ileri gidebilir? Bu makale, LLM'lerin kod tarama çerçeveleriyle birleşerek nasıl yeni açıklar keşfedebileceğini detaylandırıyor.
Ekip, 300.000'den fazla kullanıcısı olan bir WordPress eklentisinde uzaktan, çok aşamalı bir SQL enjeksiyon sıfır gün açığı keşfetti. Süreç tamamen otomatikti: keşiften istismara kadar insan müdahalesi olmadan gerçekleşti. Bu, yapay zeka destekli güvenlik taramalarının somut bir başarısı olarak dikkat çekiyor.
Yapay zeka ile kod taramasını birleştirmenin en büyük sorunu odaklanma. LLM'ler küçük kod parçalarında veya belirli bir sorunun tanımında başarılı olsa da, büyük bir kod tabanına yönlendirildiklerinde her dosyayı işlemeye çalışıyorlar. Bu, token maliyetini artırırken doğruluğu düşürüyor. Bağlam, ilgisiz kodlarla dolup taşıyor ve gerçek hata gürültü içinde kayboluyor. Intruder ekibi, bu sorunu 'program slicing' adını verdikleri bir teknikle aşıyor.
Önemli Gelişmeler
Program slicing, bir IDE veya LSP aracının 'uygulamayı bul' veya çağrı grafiği gibi özelliklerine benzer şekilde, mevcut fonksiyon tarafından çağrılan tüm fonksiyonları buluyor. Bu olgun ve iyi test edilmiş araçlar, seyreltilmiş bağlam sorununu tamamen ortadan kaldırıyor. Ekip, Joern kod tarama motorunu kullanarak bir kod tabanını analiz ediyor, her bulguyla ilgili kod dilimleri oluşturuyor ve LLM'yi bu dilimleri triyaj ve istismar için kullanıyor.
Pipeline, öncelikle WordPress'in en popüler 200 eklentisine yönlendirildi. Joern, gevşek kurallarla 'ilginç' kalıpları işaretledi; daha sonra triyaj modeli (Sonnet) bariz şekilde ilgisiz olanları filtreledi. Kalanlar, daha ağır bir model olan Opus tarafından istismar edilebilirlik açısından değerlendirildi. İstismar edilebilir bulunanlar, bir Docker konteynerinde çalışan yazılıma karşı exploit yazmayı deneyen bir ajana gönderildi.
Sistem Güvenliği
Pipeline'ın bulduğu ilk açık, Creative Mail eklentisindeki CVE-2026-3985 kodlu kör SQL enjeksiyonuydu. Yüksek etkiliydi; saldırgana veritabanına okuma erişimi sağlıyordu (admin hash'leri ve gizli token'lar dahil). İstismar için birden fazla zincirleme istek gerekiyordu, bu da geleneksel araçlarla tespit edilmesini zorlaştırıyordu. Kök neden, geliştiricinin kendi statik analiz araçlarından bir kod hatası nedeniyle gizlenmişti. Exploit ajanı, çalışan bir proof-of-concept üretti ve veritabanından parola hash'lerini çekebildi.
Bu keşif, yapay zeka destekli güvenlik taramalarının potansiyelini gösteriyor. Ekip şimdiden daha fazla açık buldu ve bunları ilgili satıcılara bildiriyor. Yapay zeka, güvenlik açığı keşfinde giderek daha büyük bir rol oynayacak. Ancak keşif hızlanırken, tespit ve yama süreçlerinin de bu hıza ayak uydurması gerekiyor. Güvenlik ekiplerinin, yapay zeka tabanlı tarama araçlarını benimsemesi ve sürekli güncellemelerle açık kalma süresini azaltması kritik önem taşıyor.
Kaynak: bleepingcomputer.com