Uzmanlar, güvenlik araştırmacıları ve saldırganların, güvenlik açıklarını bulmak için yapay zeka modellerine yöneldiğini söylüyor. Uzmanlar, bu teknolojinin kullanımının yıllık yazılım kusurlarının sayısını muhtemelen daha da artıracağını, ancak sonunda kamuya açık sürümlerde daha az kusurla sonuçlanabileceğini söylüyor.
1 Kasım’da Google, Big Sleep geniş dil modeli (LLM) aracısının, popüler veritabanı motoru SQLite’ta arabellek yetersizliği güvenlik açığı keşfettiğini söyledi. Deney, yapay zeka destekli güvenlik açığı keşif araçlarının hem tehlikesini hem de vaatlerini gösteriyor: Yapay zeka aracısı, belirli bir güvenlik açığındaki varyasyonları bulmak için kodda arama yaptı ancak yazılım kusurunu Google’ın incelemesi için zamanında belirledi. SQLite projesini bilgilendirin ve sorunu çözmek için onlarla birlikte çalışın.
Google’ın Project Zero başkanı Tim Willis, yapay zekayı yalnızca yazılım kusurlarının keşfi için kullanmak, güvenlik açığı açıklamalarında artışa neden olabilir, ancak LLM aracılarının geliştirme hattına dahil edilmesi, bu eğilimi tersine çevirebilir ve daha az yazılım kusurunun açığa çıkmasına yol açabilir, diyor. Şirketin sıfır gün güvenlik açıklarını belirleme çabası.
“Erken bir aşamada olsak da, bu araştırma aracılığıyla geliştirdiğimiz tekniklerin, yazılım geliştiricilerin elindeki araç kutusunun yararlı ve genel bir parçası olacağına inanıyoruz” diyor.
Güvenlik açıklarını bulmanın ve düzeltmenin daha iyi yollarını arayan Google yalnız değil. Ağustos ayında, Georgia Tech, Samsung Research ve topluca Team Atlanta olarak bilinen diğer firmalardan bir grup araştırmacı, bir LLM hata bulma sistemi kullandı. SQLite’ta bir hatayı otomatik olarak bulup yamalayın. Ve daha geçen ay, siber güvenlik firması GreyNoise Intelligence, Honeypot günlüklerini analiz etmek için Sift AI sistemini kullandı hassas ortamlarda kullanılan internete bağlı kameraları etkileyen iki sıfır gün güvenlik açığının keşfedilmesine ve yamalanmasına yol açtı.
GreyNoise baş ürün sorumlusu Corey Bodzin, genel olarak şirketlerin güvenlik açığı keşfini otomatikleştirmek için daha fazla yol kazandığını ve güvenlik konusunda ciddiyseler, geliştirme aşamasındaki araçları kullanarak ürünlerindeki güvenlik açığı sayısını azaltabileceklerini söylüyor. İstihbarat.
“Heyecan verici olan şey, insanların bunu yapmasına olanak tanıyan bir teknolojiye sahip olmamız. [care about] güvenliğin daha etkili olmasını sağlıyor” diyor. “Ne yazık ki… bunun birincil faktör olduğu çok fazla şirket yok, ancak şirketlerde bile [security is] “tamamen maliyet olarak görülen” kişiler bu araçları kullanmanın faydasını görebilirler.
Sadece İlk Adımlar
Şu anda, Google’ın özel yaklaşımı hâlâ özeldir ve belirli güvenlik açığı bulma görevlerine uyum sağlamak için çalışma yapılmasını gerektirir. Şirketin Big Sleep aracısı tamamen yeni güvenlik açıkları aramıyor, ancak benzer sorunları aramak için daha önce keşfedilen bir güvenlik açığının ayrıntılarını kullanıyor. Proje, test senaryoları olarak bilinen güvenlik açıklarına sahip daha küçük programlara baktı, ancak Google Project Zero ve Google DeepMind araştırmacıları, ilk kez SQLite deneyinde üretim kodunda güvenlik açıkları buldular. Google’ın araştırmayı açıklayan blog yazısında belirtildi.
Google’dan Willis, uzman fuzzer’ların hatayı bulması muhtemel olsa da, bu araçların iyi performans gösterecek şekilde ayarlanmasının oldukça manuel bir süreç olduğunu söylüyor.
“Bir vaat [L]LM aracılarının özelliği, özel ayarlara ihtiyaç duymadan uygulamalar arasında genelleme yapabilmeleridir” diyor. “Ayrıca, şunu da umuyoruz: [L]LM aracıları, tipik olarak fuzzing yoluyla bulunanlardan farklı bir güvenlik açığı alt kümesini ortaya çıkarabilecektir.”
Yapay zeka tabanlı güvenlik açığı keşif araçlarının kullanımı, saldırganlar ve savunucular arasında bir yarışa dönüşecek. Manuel kod incelemesi, yalnızca yararlanılabilir tek bir güvenlik açığına veya kısa bir güvenlik açığı zincirine ihtiyaç duyan saldırganlar için hataları bulmanın uygun bir yoludur. Ancak Willis, savunucuların uygulamaları bulma ve düzeltme konusunda ölçeklenebilir bir yola ihtiyaçları olduğunu söylüyor. Willis, hata bulma araçlarının hem saldırganlar hem de savunucular için güç çarpanı olabileceğini, ancak kodu analiz etmek için ölçeklendirme yeteneğinin savunucular için muhtemelen daha büyük bir fayda sağlayacağını söylüyor.
“Otomatik güvenlik açığı keşfi, önceliklendirme ve iyileştirme alanındaki ilerlemelerin savunuculara orantısız bir şekilde fayda sağlamasını bekliyoruz” diyor.
Yapay Zekayı Hataları Bulma ve Düzeltmeye Odaklayın
Bir uygulama güvenlik firması olan Veracode’un kurucu ortağı ve baş güvenlik savunucusu Chris Wysopal, güvenli kod oluşturmak ve hataları tespit etmek için yapay zekayı kullanmaya odaklanan şirketlerin, geliştiricilerden daha yüksek kalitede kod sunacağını söylüyor. Hata bulma ve hata düzeltmenin otomatikleştirilmesinin tamamen farklı iki sorun olduğunu savunuyor. Güvenlik açıklarını bulmak çok büyük bir veri sorunudur; hataları düzeltmek ise genellikle bir düzine kod satırıyla gerçekleştirilir.
“Hatanın orada olduğunu öğrendikten sonra – eğer onu fuzzing yoluyla, yüksek lisans yoluyla veya insan kod incelemesi kullanarak bulduysanız – ve ne tür bir hata olduğunu bildiğinizde, onu düzeltmek nispeten kolaydır” diyor. “Dolayısıyla, Yüksek Lisans’lar savunmacıları tercih ediyor, çünkü kaynak koduna erişim ve sorunları düzeltmek kolay. Dolayısıyla, tüm güvenlik açıkları sınıflarını ortadan kaldırabileceğimiz konusunda biraz iyimserim, ancak bu daha fazlasını bulmaktan değil, daha fazlasını düzeltebilmekten kaynaklanıyor. “
Geliştiricilerin kod kontrolünden önce otomatik güvenlik araçlarını çalıştırmasını gerektiren şirketlerin kendilerini güvenlik borçlarını (bildikleri ancak düzeltmeye zamanları olmadığı bir dizi sorun) ödeme yolunda bulacaklarını söylüyor. Şu anda kuruluşların yaklaşık yarısının (%46) uygulamalarda kalıcı kritik kusurlar şeklinde güvenlik borcu var. Veracode’a göre 2024 Yazılım Güvenliğinin Durumu rapor.
Wysopal, “İçinde sorun olan ve düzeltilmeyen bir kod işlediğiniz fikri, bugün olduğu gibi kural değil istisna haline gelecektir” diyor. “Bu düzeltmeyi otomatikleştirmeye başladığınızda, bulmayı otomatikleştirme konusunda her zaman daha iyiye gidiyoruz [vulnerabilities] — Sanırım işler böyle değişiyor.”
GreyNoise Intelligence veri bilimi ve güvenlik araştırmalarından sorumlu başkan yardımcısı Bob Rudis, teknolojinin yine de şirketlerin güvenlik yerine verimlilik ve üretkenliğe odaklanmasının üstesinden gelmesi gerektiğini söylüyor. GreyNoise Intelligence’ın bulduğu ve sorumlu bir şekilde ifşa ettiği iki güvenlik açığının düzeltildiğine dikkat çekiyor. Şirketin yalnızca iki ürün modelindeki sorunları çözdüğünü, ancak diğer ürünlerde muhtemelen benzer sorunlar olmasına rağmen diğerlerinde çözülmediğini söylüyor.
Google ve GreyNoise Intelligence, teknolojinin işe yarayacağını kanıtladı ancak şirketlerin hataları ortadan kaldırmak için yapay zekayı geliştirme hatlarına entegre edip etmediği hala açık bir soru.
Rudis’in şüpheleri var.
“Eminim bir avuç kuruluş bunu kullanacak; bu, yedi C dosyasını bir grup kuruluşta biraz daha güvenli hale getirecek ve belki gerçekten bunu yapabilenler için bir tık daha fazla güvenlik elde edeceğiz. düzgün bir şekilde konuşlandırın” diyor. “Fakat sonuçta, yazılım satıcılarının bir şeyleri nasıl oluşturup dağıttığına ve tüketicilerin bir şeyleri gerçekte nasıl satın alıp dağıttığına ve yapılandırdığına ilişkin teşvik yapısını gerçekten değiştirene kadar, herhangi bir fayda görmeyeceğiz.”