AI aracısı Alfred, araştırmadan bir birleştirme talebine kadar yeni güvenlik açıkları için güvenlik testlerinin oluşturulmasını tam olarak otomatikleştirir. İlk altı ayında, ortalama CVSS skoru 8.5 ile en kritik tehditlere odaklanan 450 onaylanmış test üretti. Bu süreç oldukça verimlidir, testlerin% 70’i manuel ayarlamaya ihtiyaç duymaz ve insan güvenliği araştırmacılarımızın daha karmaşık, yüksek etkili sorunlara konsantre olmalarını sağlar. Bunu nasıl inşa ettik ve ne öğrendik?
“AI Hacking” çevreleyen bir sürü hype var. Başlıklar, sistemlere giren özerk ajanlar hakkında FUD (korku, belirsizlik ve şüphe) ile doludur. Ama gerçek nedir? Gerçekten LLM’lerin hacklemeyi yapmakla ilgili mi, yoksa onlar için daha stratejik, güçlü bir kullanım var mı?
Aynı zamanda, 2024’te 40.000’den fazla yeni CVE ve 2025’te daha da hızlı bir şekilde, Haziran ayına kadar 21.500’den fazla ulaşan yeni güvenlik açıklarının hacmi patlıyor. Bu sürekli artış her gün ortalama 133 yeni güvenlik açığı anlamına gelir.
Şimdi, AI ajanlarını daha ölçeklenebilir bir amaç için kullandığınızı hayal edin: güvenlik açıklarının silahlanmasının otomatikleştirilmesi.
Bunu bir gerçeğe dönüştürmek için, iki temel prensipe sahip bir sistem oluşturmaya odaklanmaya karar verdik:
- Orada her şeyi kaynak.
- Önemli olanı otomatikleştirin.
AI Güvenlik Araştırmacımız Alfred 10 aşamalı bir işleme dayanan bir iş akışıdır. Alfred, basit bir veri noktasından güvenlik testi için tamamen işlevsel bir birleştirme talebine bir güvenlik açığı alır. Bakalım nasıl:
1. Adım: Kaynak kullanmanın hunisi
Alfred, CERTS (CERT-EU ve CERT-SE gibi), kamu satıcı danışmanları (Acunetix ve Rapid7 gibi) ve haber siteleri ve toplulukları (Reddit ve Hacderews gibi) dahil olmak üzere 200’den fazla kaynaktan güvenlik açıkları. Bu, yalnızca NVD’ye güvenmeye kıyasla çok daha geniş bir güvenlik açıkları sağlayan geniş bir potansiyel tehdit havuzu oluşturur. önemli bir iştirak ve güncel değil.
2. Adım: Tüm Referansları Almak
Bir güvenlik açığı belirlendikten sonra, Alfred tüm destekleyici referansları alır. Bu, GitHub taahhütleri, satıcı danışmanları ve hatta sosyal medya, mevcut her teknik bilgi parçasını toplamak için söz konusudur.
Adım 3: EPSS ile önceliklendirme
Her şeyi aynı anda işlemiyoruz. En kritik tehditlere odaklandığımızdan emin olmak için Alfred, tüm güvenlik açıklarını istismar tahmin puanlama sistemi (EPSS) puanlarına göre sıralar. EPSS, önümüzdeki 30 gün içinde bir güvenlik açığının kullanılma olasılığının günlük bir tahminini sağlayan veri odaklı bir çerçevedir. Bu, en önemli olanı önceliklendirmemizi sağlar – vahşi doğada silahlandırılması muhtemel olan varlıklar.
4. Adım: Verilerin gruplandırılması ve yapılandırılması
Alfred tüm içeriği tüm URL’lerden alır ve bir LLM grubuna içeriği kategorilere ayırır. LLM, yürütülebilir istismar kodu mevcutsa içeriği “POC” olarak sınıflandırmak için kritik kurallar veya “danışmanlık”, “iyileştirme” veya “analiz” gibi diğer açıklayıcı kategoriler kullanır.
Categorize this security content related to %s using your best judgment. CRITICAL RULES: - You MUST use "poc" if and ONLY if executable exploit code is present with sufficient detail to reproduce the exploit - For all other content, choose a descriptive category that best represents the content (e.g., "advisory", "remediation", "analysis", "detection", "discussion", etc.) - Choose a single category that most accurately describes the primary nature of the content - Be specific and descriptive with your chosen category - Create a concise title (5-10 words) that accurately summarizes the document's content and its type (e.g., "WordPress RCE Exploit Code" or "Apache Advisory for CVE-2024-1234") IMPORTANT: "poc" has a strict definition - it MUST contain actual code or commands that could be executed to exploit the vulnerability. Your response must be a single JSON object with two properties: {"category": "category_name", "title": "Your concise document title"}`
Adım 5: Not alma
Bir LLM istismar öğrenecek ve nasıl çalıştığı hakkında not alacaktır. Alfred’in görevi içeriği analiz etmek ve savunmasızlığı anlamak ve potansiyel olarak yeniden üretmek için gerekli tüm teknik bilgileri çıkarmaktır. Analiz, kendi bilgisi veya varsayımlarından bilgi eklemeden kesinlikle sağlanan içeriğe dayanmaktadır. Bu notlar, saldırı vektörünün, önkoşulların ve üreme için gereken her teknik ayrıntının kesin, kapsamlı bir dokümantasyonudur.
Your task is to analyze this content related to vulnerability and extract ALL technical information necessary to understand and potentially reproduce the vulnerability. IMPORTANT: Base your analysis STRICTLY on the content provided. Do not add information from your own knowledge or assumptions. Document EXHAUSTIVELY: - The complete attack vector and exploitation methodology - ALL technical details about how the vulnerability works - EVERY prerequisite and environmental requirement - ALL steps in the exploitation process - EXACT specifications of any unusual formatting or techniques - FULL details on target behavior during and after exploitation - … For ANY code, commands, or HTTP requests: - Include them COMPLETELY and EXACTLY as presented - Preserve ALL syntax, formatting, and structure - Document ALL parameters, flags, and options - Note ALL external dependencies or tools required REMEMBER: These notes will become your ONLY reference for future analysis of this vulnerability. You will never see this content again, so be exhaustive, precise, and avoid omitting ANY technical details.`
Adım 6: Fizibilite için Triating
Alfred, bir güvenlik açığının uygulanması için ne kadar uygun olduğunu tetiklemek için bir güvenlik analisti olarak hareket eder. Daha önce belgelenmiş notları değerlendirir ve yalnızca verilen teknik ayrıntılara dayanan bir dizi doğru/yanlış soruyu cevaplar. Sorular arasında güvenlik açığının kullanılabilir olup olmadığı, HTTP/HTTPS’ye dayanıp dayanmadığı, kimlik doğrulaması gerektirmesi veya müdahaleci olup olmadığını içerir.
Senin nesne ki ile değerlendirmek Ve triyaj notalar ile ilgili A güvenlik güvenlik açığı O Sen önceden sahip olmak olmuş belge. Temel senin analiz kesin olarak Açık . teknik detaylar tedarik edilen içinde . güvenlik açığı Tanım, olmadan yapım varsayımlar hakkında tipik sömürme desen.
IMPORTANT: Your task is to carefully analyze the provided vulnerability information and answer each question with true or false. Accuracy is critical as your responses will be used in an automated system. Your goal is answer the following questions (pay attention to the quoted prefix to the questions): "exploitable": Set to false if the provided technical information… "http": Is this vulnerability carried out over HTTP/HTTPS protocols (including HTTP/2, HTTP/3) "authenticated": Does this vulnerability require any form of authentication "multistep": Does this vulnerability require requests to be executed sequentially with dependencies "time_based": Does the vulnerability detection rely on specific timing intervals, including time-based blind injections "pingback": Does exploitation require the vulnerable system to initiate a connection back to attacker-controlled infrastructure (including HTTP, DNS, SMTP, LDAP, or internal network callbacks)? "fingerprint": Does the implementation rely on passive reconnaissance "manual_configuration": Does successful exploitation require prior knowledge of specific values "intrusive": Does this vulnerability test include payloads that could cause permanent damage or disruption to the target system? Examples include: Deleting files or data (rm, DROP TABLE) without recovery Modifying critical system files or configurations that could prevent normal operation … … …
Adım 7: Uygulama için iyi adayları seçin
Alfred, bir sıralama sistemine dayalı uygulama için iyi adaylar seçer. Sistem, kavram kanıtı, yeni CVES, daha yüksek EPSS ve CVSS skorları ve en alakalı güvenlik açıklarına öncelik vermek için daha alakalı kaynaklara sahip güvenlik açıkları için önyargı ekler.
Preliminary filtering, only act on unauthenticated and network-based (Internet-facing) vulnerabilities. This preliminaryFiltering-repository instance is presorted on EPSS in descending order. Rank all vulnerabilities based on the rules below, higher scores means that vulnerabilities are more relevant and will be acted upon first. // Add bias for vulnerabilities with proof-of-concepts // Add bias and prioritize newer CVEs // Add the source count // Add bias for EPSS percentile // Add bias for CVSSv3 scores // Add bias for CVSSv2 scores // Add bias towards more relevant sources // Add bias for recent sources, so that recent mentions in news-sites, CERTs, etc. are prioritized // Add slight bias on "source mentions" seen during the past three months
Adım 8: Test modülünü geliştirin
Bir sonraki adım, “işe yarayana kadar” hızlı yinelemelerle gerçekleşen gelişmedir. Alfred’in amacı, teknik notlarını bir test modülünü tespit etmek için standart bir JSON spesifikasyonuna taşımaktır. Bir bilgisayar bu çıktıyı ayrıştıracaktır, bu nedenle şemaya tam olarak uymak kritiktir. Önemli bir gereksinim, her zaman beton, yürütülebilir yük yükleri – asla yer tutucuları kullanmaktır. Örneğin, komut enjeksiyonu için Alfred, hem Windows hem de Unix/Linux sistemlerinde çalışan gerçek komutları kullanmalıdır.
Your goal is to port security vulnerability notes to a standardized Unicorn Module JSON specification. This specification describes the format for HTTP requests and assertions to test for specific vulnerabilities."
INPUT: You will receive unstructured notes about a security vulnerability.
OUTPUT: A computer will parse your response, so exact adherence to the schema is critical."
REQUIRED INFORMATION: At minimum, your output must include:
- Valid type and version fields
- Appropriate labels including the CVE identifier (if available)
- At least one request and response signature
- Properly formatted finding metadata
PAYLOAD IMPLEMENTATION REQUIREMENTS:
- Always use concrete, executable payloads - NEVER use template variables like {{command}} or similar placeholders
- For command injection vulnerabilities, include actual commands not a placeholder
- DO NOT include a 'Host' header in your request modifiers - the system automatically handles this
...
CROSS-OS COMPATIBILITY REQUIREMENTS:
- When crafting command injection payloads, use commands or techniques that work across both Windows and Unix/Linux systems
...
Here are common errors to avoid:
* When using request modifiers, the HTTP method is specified as a string, not as JSON array
* When providing the CVSS, the type attribute must be \"cvss\" in lowercase
...
(70+ rows with prompts and instructions)
Adım 9: Birleştirme İsteğini Oluşturma
Modül hazır olduğunda, Alfred GitLab’da bir birleştirme isteği açar. Bu, dahili güvenlik araştırmacılarımızın üretilen testi gözden geçirmesini ve yüksek kaliteli standartlarımızı karşıladığından emin olmasını sağlar.
10. Adım: Üretimi Hazırlamak
Son adım, daha küçük sorunları çözmek ve referans başlık biçimlendirmesini düzeltmek ve regex iddialarını genişletmek gibi üretim testi hazırlamaktır.
Vay canına, aslında işe yarıyor
Peki, ilk altı operasyonel ayın sonucu neydi? Sonuçlar kendileri için konuşuyor:
- Alfred, sadece birkaç aylık bir test döneminde yaklaşık 450 onaylanmış test modülü oluşturdu.
- Odaklandığı güvenlik açıkları oldukça kritikti, ortalama CVSS skoru 8.5 ve ortalama 9.8.
- Üretilen testlerin etkileyici bir% 70’inin “çok sınırlı manuel ayar” ı ihtiyacı vardı ve tam otomatik ve silahlandırılmış olarak kabul edildi.
- Tüm süreç son derece uygun maliyetlidir ve LLM maliyetleri ayda sadece birkaç yüz dolar olarak çalışır.
Bu güvenlik araştırmacıları için ne anlama geliyor?
Alfred, AI ajanlarının güvenlik savunucuları için nasıl güçlü araçlar olabileceğini örneklendirir: kaynak kullanımı, tetikleme ve test geliştirme görevlerini otomatikleştirerek güvenlik araştırmalarını önemli ölçüde hızlandırır. Bu inovasyon, iç güvenlik araştırmacılarımıza ve Crowdsource Etik bilgisayar korsanlılarımızın en iyi yaptıklarına odaklanmaları için daha fazla zaman sağlar: yaratıcı bir insan dokunuşu talep eden karmaşık, yüksek etkili güvenlik açıklarını keşfetmek.
Müşterileri tespit etmek için bu, ilgili CV’ler için güvenlik açığı değerlendirmelerine her zamankinden daha hızlı erişim elde ettikleri anlamına gelir. Bizim için Alfred, interneti her seferinde bir otomatik test, daha güvenli bir yer haline getirmek için büyük bir yardımcıdır.