Koruma AI’daki araştırmacılar, Anthropic’in Claude AI modelini kullanarak Python kod tabanlarındaki sıfır gün güvenlik açıklarını bulabilen ücretsiz, açık kaynaklı bir araç olan Vulnhuntr’u yayınladı.
Araç, GitHub’da mevcut, Kodun ayrıntılı analizini, belirlenen güvenlik açıklarına yönelik kavram kanıtlama açıklarını ve her kusur için güven derecelendirmelerini sağlar, AI’yi koruyun duyurusunda şunları söyledi.
Vulnhuntr, LLM’yi tüm dosyayla aynı anda beslemek yerine kod tabanını daha küçük parçalara böler. Araç, kodu bir döngü içinde analiz ederek, uygulamanın kullanıcı girişinden sunucu çıkışına kadar haritasını çıkarabilir. Bu şekilde Yüksek Lisans, araştırma ekibinin hatalı pozitif ve negatifleri azaltmaya yardımcı olduğunu iddia ettiği kod tabanının belirli bölümlerine odaklanabilir.
Araç şu anda uzaktan yararlanılabilecek aşağıdaki güvenlik açıklarına odaklanmaktadır: Rastgele dosya üzerine yazma (AFO), yerel dosya ekleme (LFI), sunucu tarafı istek sahteciliği (SSRF), siteler arası komut dosyası çalıştırma (XSS), güvenli olmayan doğrudan nesne referanslar (IDOR), SQL enjeksiyonu (SQLi) ve uzaktan kod yürütme (RCE).
Vulnhuntr ekibi, aracın GitHub’daki gpt_academic, FastChat ve Ragflow gibi popüler Python projelerinde bir düzineden fazla sıfır gün güvenlik açığını keşfettiğini iddia etti.