Google’ın Yapay Zeka Destekli Hata Avcısı İlk Raporunu Yayınladı
Google‘ın yapay zeka destekli hata avcısı, ilk güvenlik açıkları raporunu yayınladı.
Big Sleep İlk Vulnerabilitelerini Buldu
Google’ın güvenlikten sorumlu başkan yardımcısı Heather Adkins, Pazartesi günü yaptığı açıklamada, Big Sleep isimli LLM (dil modeli) tabanlı güvenlik açıkları araştırıcısının çeşitli popüler açık kaynak yazılımlarında 20 hata bulup bildirdiğini duyurdu.
Önemli Yazılımlar Etkilendi
Adkins, Big Sleep‘in, şirketin yapay zeka departmanı DeepMind ve elit hack ekibi Project Zero tarafından geliştirildiğini ifade etti. Bu ilk raporlar, ağırlıklı olarak FFmpeg gibi ses ve video kütüphaneleri ile ImageMagick gibi görüntü düzenleme yazılımlarında meydana geldi.
Henüz düzeltilmeyen açıkların etkisi veya ciddiyeti hakkında bir bilgi verilmediğini belirten Google, böceklerin düzeltilmesini beklerken detaylara girmiyor. Ancak, Big Sleep‘in bu açıkları bulması, bu tür araçların gerçek sonuçlar vermeye başladığını göstermesi açısından anlamlı.
İnsan Müdahalesi Gerekiyor
Google’dan Kimberly Samra, yaptıkları açıklamada, “Yüksek kaliteli ve eyleme geçirilebilir raporlar sağlamak için, raporlama öncesinde bir insan uzmanının devrede olduğunu” belirtti. Ancak, her bir güvenlik açığının AI ajanı tarafından insan müdahalesi olmaksızın bulunduğunu vurguladı.
Google mühendislik başkan yardımcısı Royal Hansen, X’te yaptığı paylaşımda, bu bulguların “otomatik güvenlik açıklarının keşfinde yeni bir ufuk” olduğunu açıkladı.
Otomatik Araçlar Gerçekleşiyor
Şu anda, Big Sleep dışında RunSybil ve XBOW gibi diğer LLM destekli araçlar, güvenlik açıklarını arayıp bulma konusunda mevcut. XBOW, HackerOne platformunda bir liderlik sıralamasının zirvesine ulaşarak dikkatleri üzerine çekti.
Vlad Ionescu, AI destekli hata avcıları geliştiren RunSybil’in kurucu ortağı ve CTO’su, Big Sleep projesinin “gerçek bir proje” olduğunu, çünkü sağlam bir tasarıma sahip olduğunu ifade etti. Ayrıca, Project Zero‘nun hata bulma deneyimine ve DeepMind‘ın gücüne sahip olduğunu belirtti.
Önemli Zorluklar ve Yanıltıcı Raporlar
Bu araçlarla büyük bir umut olsa da, AI tabanlı raporların yanıltıcı olabileceği yönünde endişeler de mevcut. Bazı yazılım projelerini yöneten kişiler, bazı raporların “hallüsinasyon” niteliğinde olduğunu ve bu durumun “AI çöplüğü” olarak adlandırıldığına dikkat çekti.
Ionescu, bu konuda “İnsanlar, altın gibi görünen ama aslında çöp olan birçok rapor alıyor” diyerek, insanların karşılaştığı zorlukları vurguladı.