- AIxCC yarışması ve hacking yarışmalarındaki eğilimleri izlerken güvenlik sektöründeki paradigma değişimini hissettim ve gerçek dünya (Real World) zafiyet keşif iş akışını bizzat kurdum.
- Başlangıçta bellek zafiyetleri veya black-box hacking de değerlendirildi, ancak politik kısıtlar ve sunucuyu çökertme riski nedeniyle yön değiştirildi. Bunun yerine kodu şeffaf biçimde açık olan ve karmaşık iş mantığı analizinde LLM’nin bağlam anlama yeteneğinin güçlü şekilde ortaya çıkabildiği büyük web tabanlı açık kaynak projeler (Nextcloud, Matomo, Grafana vb.) hedef seçildi.
- Token tüketiminden doğan maliyet (sürdürülebilirlik) sorununu çözmek için, GeekNews’te karşılaşılan bir benchmark yazısından yararlanılarak fiyat/performansı çok iyi olan GLM model tabanlı 3 aşamalı bir routing mimarisi tasarlandı.
- Finding (GLM-4.7): Üst seviye modellere göre yaklaşık 3 kat daha ucuz olan 4.7 sürümünün çağrı sayısı artırılarak çok sayıda zafiyet adayı tarandı
- Semi-Triage (GLM-5): Bariz false positive’ler ilk aşamada filtrelendi
- Triage (Codex 5.3): Ayakta kalan veriler yalnızca en üst seviye modelle nihai olarak doğrulanıp Discord/Notion’a otomatik bildirim gönderildi (bildirimden önce insan tarafından yeniden üretim ve doğrulama yapıldı)
- Prompt engineering ile LLM’lere özgü “üstünkörü göz gezdirme” şeklindeki tembel özellik kontrol altına alındı.
- “Saldırgan koşulları, sunucu koşulları, güvenlik etkisi (CIA)” olmak üzere 3 unsurun yanıtta mutlaka üretilmesi zorunlu kılındı
- Açık kaynağın resmî güvenlik politikaları ve dokümanlarıyla çapraz kontrol yaptırılarak, basit bug ile güvenlik açığı net biçimde ayrıştırıldı
- Sonuç olarak, insanın on binlerce satırlık routing kodu ile yetki motorunu karşılaştırırken dikkatinin dağılması nedeniyle kolayca gözden kaçırabileceği ince mantıksal boşlukları AI’nin yakalaması sağlandı.
- Örneğin Grafana dashboard yetki yönetimi API’sinde, iç yetki doğrulaması sırasında scope parametresinin atlanması şeklindeki boşluk AI tarafından bulundu; bunun sonucunda başka dashboard’ların kontrolünü ele geçirmeye imkân veren ciddi bir yetki yükseltme zafiyeti (CVE-2026-21721, CVSS 8.1) raporlandı.
- Bunun dışında Nextcloud (XSS, kimlik doğrulama atlatma), Protobuf (DoS), Airflow ve Discourse gibi projelerde de çok sayıda zero-day (CVE) ve bounty elde edildi.
- İleride basit zafiyet keşfi (red team) işlerinin önemli bir bölümünün AI tarafından ikame edileceği, bundan sonra hacker’lar için bu tür AI güvenlik iş akışlarını doğrudan tasarlama becerisi ile iş ihtiyaçlarına uygun blue team bakış açısıyla savunma stratejileri oluşturmanın daha önemli hale geleceği yönündeki içgörüler paylaşılıyor.
Henüz yorum yok.