Yapay zeka sistemleri, yeni yayınlanan ortak güvenlik açıkları ve maruziyetleri (CVES) için yalnızca 10-15 dakika içinde istismar başına yaklaşık 1 $ ‘lık fonksiyonel istismarlar üretebilir.
Bu atılım, savunucuların genellikle istismarlar kullanıma sunulmadan önce güvenlik açıklarına güvendiği geleneksel “lütuf dönemini” önemli ölçüde sıkıştırır.
Güvenlik uzmanları EFI Weiss ve Nahman Khayet tarafından yürütülen araştırma, AI sistemlerinin 130+ yeni yayınlanan CVVE günlük akışını insan araştırmacılardan çok daha hızlı işleyebileceğini ortaya koyuyor.
Key Takeaways
1. AI generates working CVE exploits in 10-15 minutes for $1 each.
2. Automated three-stage system analyzes CVEs, creates exploits, and validates results.
3. Defenders must now respond in minutes instead of weeks.
Sonuçlar, bilinen güvenlik açıkları için kamuoyunun istismarlarından önce, günler, günler ve hatta haftalar önce tarihsel olarak zevk alan siber güvenlik savunucuları için derindir.
AI ile çalışan istismar nesli
Araştırmacılar, büyük dil modellerini (LLMS) otomatik test ortamlarıyla birleştiren gelişmiş üç aşamalı bir boru hattı geliştirdiler.
Sistem, etkilenen depolar, savunmasız versiyonlar ve yama ayrıntıları dahil olmak üzere önemli bilgileri çıkararak CVE tavsiye ve GitHub Güvenlik Danışma (GHSA) verilerini analiz ederek başlar.
İlk aşama, AI’nın güvenlik açığı danışmanlığını ve karşılık gelen kod yamalarını incelediği teknik analizi içerir.
Örneğin, JWT şifrelemesini etkileyen bir kriptografik baypas olan CVE-2025-54887’yi işlerken, sistem spesifik saldırı vektörünü tanımladı ve kapsamlı bir sömürü planı oluşturdu.
Yinelemeli güvenlik açığı sömürü döngüsü
İkinci aşama, savunmasız uygulamalar ve sömürü kodları oluşturmak için ayrı AI ajanları kullanarak test odaklı bir yaklaşım uygular.
Araştırmacılar, özel ajanlar kullanmanın farklı görevler arasında karışıklığı engellediğini keşfettiler.
Test için güvenli kum havuzları oluşturmak için hançer kaplar kullandılar, bu da sistemin yanlış pozitifleri ortadan kaldırmak için hem savunmasız hem de yamalı versiyonlara karşı istismarları doğrulamasını sağladılar.
Başlangıç denemeleri genellikle hem savunmasız hem de güvenli uygulamalara karşı çalışan “yanlış pozitif” istismarlar ürettiğinden, doğrulama döngüsü kritik oldu.
Sistem, gerçek bir sömürü elde edene kadar hem savunmasız test uygulamasını hem de sömürü kodunu yinelemeli olarak rafine eder.
Faydalanmak
Araştırma, farklı programlama dillerinde çeşitli güvenlik açığı türleri için çalışma istismarları üretti.
Dikkate değer örnekler arasında GHSA-W2CQ-G8G3-GM83, bir JavaScript Prototip Kirlilik Güvenlik Açığı ve GHSA-9GVJ-PP9X-GCFR, Python turşusu dezenfekte bypass bulunmaktadır.
Ekip, Hizmet Olarak Yazılım (SaaS) modellerinin ilk korkuluklarının dikkatle yapılandırılmış hızlı zincirlerle atlanabileceğini bulduktan sonra Claude Sonnet 4.0’ı birincil modeli olarak kullandı.
Performans ve güvenilirliği optimize etmek için Pydantic-ai kullanarak önbellekleme mekanizmaları ve tipte güvenli arayüzler uyguladılar.
Oluşturulan tüm istismarlar, OpenTimestamps Blockchain doğrulaması kullanılarak zaman damgasını vurur ve kamuya açık hale getirilir.
Araştırmacılar, geleneksel “7 günlük kritik güvenlik açığı düzeltmesi” politikalarının AI yetenekleri ilerledikçe eski haline gelebileceğini ve savunucuları yanıt sürelerini haftalardan dakikalara kadar önemli ölçüde hızlandırmaya zorladığını vurgulamaktadır.
Bu gelişme, istismar gelişiminin otomasyonunun, devam eden siber güvenlik silah yarışında saldırganlar ve savunucular arasındaki dengeyi temelden değiştirebileceği siber güvenlik manzarasında önemli bir değişimi temsil etmektedir.
Safely detonate suspicious files to uncover threats, enrich your investigations, and cut incident response time. Start with an ANYRUN sandbox trial →