Yapay zeka ve Exploit Geliştirmenin Geleceği: Otomasyon Rolümüzü Nasıl Değiştirecek? [YouTube]

 (youtube.com)
7 puan yazan GN⁺ 2025-05-26 | Henüz yorum yok. | WhatsApp'ta paylaş
  • ABD Savunma İleri Araştırma Projeleri Ajansı (DARPA) için yapay zeka ve siber güvenlik teknolojileri danışmanı olan Perri Adams'ın OffensiveCon konferansı açılış konuşması
  • Yapay zeka, exploit geliştirme ve zafiyet otomasyonu alanlarında giderek daha fazla uygulanıyor
  • Gerçek bir OpenSSH pre-auth double free zafiyeti örneği incelenerek yapay zekanın exploit geliştirmede nasıl kullanılabileceği araştırılıyor
  • Büyük dil modeli (LLM) tabanlı yapay zeka, bazı alt görevlerde (ör. heap grooming'i anlama) yardımcı olsa da tüm exploit'i otomatik üretmede yetersiz kalıyor
  • Uzman sistemlerin (ör. symbolic engine) yapay zekayla birleşimi somut ilerleme sağlıyor
  • Yapay zeka kısa vadede insanın yerini almayacak olsa da, yardımcı araç olarak rolünün büyümesi ve belirli kısımların otomasyonuna katkı sağlaması bekleniyor

Giriş

  • OffensiveCon konferansının açılış konuşması: Yapay zeka ve exploit geliştirmenin geleceği
    • Konuşmacı Ms. Perri Adams, DARPA Direktörü Özel Danışmanı olarak yapay zeka ve siber güvenlik teknolojileri konusunda danışmanlık yapıyor
    • DEF CON CTF organizasyon ekibinden gelen bir hacking yarışması katılımcısı
  • Güvenlik alanında 'otomasyon' ve 'yapay zeka kullanımı' tartışmalarının çok yoğun biçimde yürütüldüğü bağlam açıklanıyor
  • DARPA ve çeşitli sektör deneyimleri ile CTF (name: Capture the Flag) katılım deneyimi temel alınarak anlatı ilerliyor

Gerçek vaka: OpenSSH double free (pre-auth) zafiyeti ve yapay zeka

  • Şubat 2023'te Qualys, OpenSSH'nin pre-auth ortamındaki bir double free zafiyetini OSS-SEC ML'ye bildirdi
  • Bunun yalnızca belirli yapılandırma ve koşullarda tetiklenen karmaşık bir zafiyet olduğu anlatılıyor
  • Bu zafiyetin, karmaşık C kodu, process separation, çeşitli fonksiyon çağrıları ve backward compatibility sorunları nedeniyle exploit edilmesi son derece zor bir yapıya sahip olduğu belirtiliyor
  • Heap yapısı (Glibc'nin tcash, unsorted bin vb.), kimlik doğrulama öncesi paketler (özel liste manipülasyonu), OpenSSL, function pointer'lar gibi çeşitli oyun alanlarının bulunduğu analiz ediliyor
  • Gerçekte heap'i manipüle ederek (grooming) use-after-free oluşturmak ve teorik olarak function pointer'ları ezme olasılığını araştırmak ele alınıyor

Yapay zeka araçlarının pratikte uygulanması

  • İlgili zafiyeti analiz etmek için ChatGPT (3.5, 4.0), Claude gibi LLM tabanlı yapay zekalar kullanılıyor
  • Zafiyetin temel yapısını ve heap tahsis sürecini düzenleme/özetleme gibi bazı alt görevlerde anlamlı performans gösteriyorlar
  • Ancak tüm exploit kodunun otomatik üretilmesi, karmaşık heap manipülasyonu, OpenSSL iç akışının yorumlanması gibi alanlarda sınırlar görülüyor
  • Bazı yapay zekalar gerçekçi olmayan veya hatalı PoC'leri (Proof of Concept) kendinden emin biçimde sunuyor ya da etik gerekçelerle kod üretmeyi reddediyor
  • Buna karşılık kod düzeltme/yama önerileri ve riskli bölümlerin özetlenmesi gibi konularda pratik savunma desteği sağlıyor

Yapay zeka ile uzman sistemlerin (symbolic framework) birleşimi

  • Tek başına LLM tabanlı yapay zekadan ziyade Lean proof engine gibi uzman sistemlerle birleştirilen yapıların matematik olimpiyatı problemleri gibi alanlarda daha iyi sonuç verdiği gösteriliyor
  • IMO gibi biçimi iyi tanımlanmış problemlerde yapay zeka-sembolik sistemler ödüllendirme ve doğrulama rolünü üstlenerek performansı artırabiliyor
  • Exploit otomasyonu da CodeQL, IDA, Binary Ninja gibi analiz araçlarının yapay zekayla birleşmesi sayesinde ilerleme kaydediyor

Exploit otomasyonu araştırmaları ve gerçeklik

  • DARPA Cyber Grand Challenge gibi otomatik exploit üretim yarışmalarından sonra araştırmalar, karmaşıklığın düşürüldüğü ortamlarda anlamlı ilerleme sağladı
  • Başlıca çalışmalar, problemi alt parçalara ayırarak exploit şablonları ve hedefe/zafiyet türüne özel otomasyon teknikleri öneriyor
  • Genel amaçlı otomasyon araçlarından ziyade belirli zafiyet türleri/hedeflere özelleştirilmiş alt algoritma kombinasyonları gerçek sonuçlara daha yakın görünüyor
  • LLM'ler hâlâ büyük ölçüde "hevesli bir yardımcı" rolünde; uzmanın işini doğrudan ikame etmekten çok destekleyici yönde katkı sunuyor

Sonuç ve öngörü

  • Yapay zekanın yakında tüm exploit geliştirme sürecini tamamen otomatikleştireceği beklentisi büyük ölçüde abartılı
  • En etkili yaklaşım, doğrudan exploit geliştirmeyi yaparken yapay zekayı alt görevlerde (ör. bilgi düzenleme, kod düzeltme, tekrar testleri) yardımcı olarak birlikte kullanmak
  • Otomasyondaki ilerleme insan yaratıcılığını belli ölçüde geriden takip ediyor; gerçek zafiyetlerin karmaşıklığına ve değişkenliğine yapay zekanın bütünüyle uyum sağlaması hâlâ zor
  • Gelecekte büyümenin ana alanları arasında mevcut soyutlama katmanları/uzman sistemlerle yapay zekanın birleşimine dayanan yarı otomasyon ve belirli zafiyet türlerine odaklanan otomasyon yaklaşımları öne çıkacak
  • Tersine mühendislik, uygulama güvenliği ve pentesting alanlarında pratik değer ve kullanım örnekleri hızla artacak

İlgili okumalar

Henüz yorum yok.

Henüz yorum yok.